اعتماد در اولین استفاده (TOFU)

برای دستگاه‌هایی که Android 13 یا بالاتر دارند، Android از رویکرد احراز هویت Trust on First Use (TOFU) ( RFC7435 ) پشتیبانی می‌کند، که به کاربران اجازه می‌دهد با نصب CA ریشه مورد استفاده توسط سرور و تنظیم نام دامنه آن در یک شبکه ذخیره‌شده، به شبکه سازمانی (EAP) اعتماد کنند. TOFU به دستگاه این امکان را می‌دهد که وقتی کاربر برای اولین بار به یک شبکه سازمانی متصل می‌شود، یک کلید عمومی تأیید نشده به دست آورد و کلید را برای اتصالات بعدی حفظ کند.

پس زمینه

در مقایسه با شبکه‌های شخصی که فقط به رمز عبور نیاز دارند، شبکه‌های سازمانی از احراز هویت زیرساخت کلید عمومی (PKI) استفاده می‌کنند که به مشتری نیاز دارد تا گواهی‌ها را از قبل نصب کند. در اندروید 11 یا پایین‌تر، کاربران می‌توانند با دور زدن تأیید اعتبار گواهی سمت سرور، در تنظیمات شبکه، گزینه Do not validate را برای گواهی CA سرور انتخاب کنند. با این حال، برای تقویت امنیت و مطابقت با مشخصات WPA R2، اندروید 12 الزامی را برای شبکه‌های سازمانی برای تأیید اعتبار گواهی سرور معرفی کرد. این نیاز اضافی مانعی برای کاربران ایجاد کرد زیرا آنها نیاز به نصب گواهی CA برای چنین شبکه هایی دارند. TOFU راهی را برای کاربران فراهم می کند تا به سادگی با پذیرش CA ریشه آن به یک شبکه سازمانی مبتنی بر PKI متصل شوند.

رفتار ویژگی

دستگاه‌هایی که از TOFU پشتیبانی می‌کنند، وقتی کاربر به یک شبکه سازمانی متصل می‌شود که کلید عمومی تأیید شده قبلاً نصب نشده است، رفتار زیر را نشان می‌دهند.

از طریق انتخابگر Wi-Fi به شبکه جدید متصل شوید

1. یک شبکه سازمانی جدید را در انتخابگر Wi-Fi انتخاب کنید.

   دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.

2. برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.

   • اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.

   • اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.

   

   شکل 1. گفتگو برای ویژگی TOFU

با فعال بودن اتصال خودکار به شبکه موجود متصل شوید

هنگام اتصال به یک شبکه سازمانی که اتصال خودکار را فعال کرده است اما گواهینامه CA معتبر ندارد، دستگاه به طور خودکار متصل می شود، سپس یک اعلان چسبنده (غیرقابل رد) نمایش می دهد.

1. روی اعلان ضربه بزنید.

   دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.

2. برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.

   • اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.

   • اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.

پیاده سازی

برای پشتیبانی از ویژگی TOFU، HAL های درخواستی ارائه شده در پروژه منبع باز Android (AOSP) را در آدرس /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant پیاده سازی کنید.

API های عمومی زیر در Android 13 برای استفاده توسط برنامه ها در دسترس هستند:

• WifiManager#isTrustOnFirstUseSupported() : نشان می دهد که آیا دستگاه از TOFU پشتیبانی می کند یا خیر.
• WifiEnterpriseConfig#enableTrustOnFirstUse(boolean) : TOFU را فعال می کند.
• WifiEnterpriseConfig#isTrustOnFirstUseEnabled() : نشان می دهد که آیا TOFU فعال است یا خیر.

اعتبار سنجی

برای تایید اجرای TOFU بر روی دستگاه خود، از تست های زیر استفاده کنید:

• CTS: CtsWifiTestCases
• VTS: VtsHalWifiSupplicantStaNetworkTargetTest