Android 13 या उसके बाद के वर्शन पर चलने वाले डिवाइसों के लिए, Android में Trust on First Use (TOFU) ऑथेंटिकेशन का तरीका (RFC7435) काम करता है. इसकी मदद से, उपयोगकर्ता किसी एंटरप्राइज़ (ईएपी) नेटवर्क पर भरोसा कर सकते हैं. इसके लिए, उन्हें सर्वर के इस्तेमाल किए गए रूट CA को इंस्टॉल करना होगा और सेव किए गए नेटवर्क में उसका डोमेन नेम सेट करना होगा. TOFU की मदद से, डिवाइस को बिना पुष्टि की गई सार्वजनिक कुंजी मिलती है. यह कुंजी तब मिलती है, जब कोई उपयोगकर्ता पहली बार किसी एंटरप्राइज़ नेटवर्क से कनेक्ट होता है. इसके बाद, डिवाइस इस कुंजी को सेव कर लेता है, ताकि उपयोगकर्ता अगली बार भी इस नेटवर्क से कनेक्ट हो सके.
बैकग्राउंड
निजी नेटवर्क के लिए सिर्फ़ पासवर्ड की ज़रूरत होती है. वहीं, एंटरप्राइज़ नेटवर्क में पब्लिक की इन्फ़्रास्ट्रक्चर (पीकेआई) ऑथेंटिकेशन का इस्तेमाल किया जाता है. इसके लिए, क्लाइंट को पहले से सर्टिफ़िकेट इंस्टॉल करने होते हैं. Android 11 या उससे पहले के वर्शन में, उपयोगकर्ता नेटवर्क सेटिंग में जाकर, सर्वर CA सर्टिफ़िकेट के लिए पुष्टि न करें विकल्प चुन सकते हैं. इससे, सर्वर साइड सर्टिफ़िकेट की पुष्टि नहीं होती. हालांकि, सुरक्षा को बेहतर बनाने और WPA R2 की खास जानकारी के मुताबिक काम करने के लिए, Android 12 में यह ज़रूरी कर दिया गया है कि एंटरप्राइज़ नेटवर्क में सर्वर सर्टिफ़िकेट की पुष्टि की जाए. इस अतिरिक्त ज़रूरत की वजह से, उपयोगकर्ताओं को परेशानी हो सकती है, क्योंकि उन्हें ऐसे नेटवर्क के लिए CA सर्टिफ़िकेट इंस्टॉल करना पड़ता है. TOFU की मदद से, उपयोगकर्ता पीकेआई पर आधारित एंटरप्राइज़ नेटवर्क से कनेक्ट हो सकते हैं. इसके लिए, उन्हें रूट CA को स्वीकार करना होगा.
सुविधा का व्यवहार
TOFU की सुविधा वाले डिवाइस, एंटरप्राइज़ नेटवर्क से कनेक्ट होने पर इस तरह काम करते हैं. हालांकि, यह तब होता है, जब नेटवर्क में पहले से इंस्टॉल की गई पुष्टि की गई सार्वजनिक कुंजी न हो.
वाई-फ़ाई पिकर की मदद से, नए नेटवर्क से कनेक्ट करना
वाई-फ़ाई पिकर में, कोई नया एंटरप्राइज़ नेटवर्क चुनें.
डिवाइस, यह पुष्टि करने के लिए एक डायलॉग (पहली इमेज) दिखाता है कि नेटवर्क भरोसेमंद है या नहीं.
नेटवर्क कनेक्शन स्वीकार करने के लिए, हां, कनेक्ट करें पर टैप करें. वहीं, अस्वीकार करने के लिए, नहीं, कनेक्ट न करें पर टैप करें.
**हां, कनेक्ट करें** पर टैप करने पर, डिवाइस सुरक्षा से जुड़े पैरामीटर अपने-आप कॉन्फ़िगर कर लेता है. इसके बाद, नेटवर्क से कनेक्ट हो जाता है और नेटवर्क के लिए, अपने-आप कनेक्ट होने की सुविधा चालू कर देता है.
नहीं, कनेक्ट न करें पर टैप करने पर, डिवाइस नेटवर्क से डिसकनेक्ट हो जाता है. साथ ही, नेटवर्क के लिए, अपने-आप कनेक्ट होने की सुविधा बंद हो जाती है.
पहली इमेज. TOFU सुविधा के लिए डायलॉग
अपने-आप कनेक्ट होने की सुविधा चालू वाले मौजूदा नेटवर्क से कनेक्ट करना
जब कोई डिवाइस, ऐसे एंटरप्राइज़ नेटवर्क से कनेक्ट होता है जिसमें अपने-आप कनेक्ट होने की सुविधा चालू हो, लेकिन उसमें मान्य CA सर्टिफ़िकेट न हो, तो डिवाइस अपने-आप कनेक्ट हो जाता है. इसके बाद, एक स्टिकी (जिसे हटाया नहीं जा सकता) सूचना दिखती है.
नोटिफ़िकेशन पर टैप करें.
डिवाइस, यह पुष्टि करने के लिए एक डायलॉग (पहली इमेज) दिखाता है कि नेटवर्क भरोसेमंद है या नहीं.
नेटवर्क कनेक्शन स्वीकार करने के लिए, हां, कनेक्ट करें पर टैप करें. वहीं, अस्वीकार करने के लिए, नहीं, कनेक्ट न करें पर टैप करें.
**हां, कनेक्ट करें** पर टैप करने पर, डिवाइस सुरक्षा से जुड़े पैरामीटर अपने-आप कॉन्फ़िगर कर लेता है. इसके बाद, नेटवर्क से कनेक्ट हो जाता है और नेटवर्क के लिए, अपने-आप कनेक्ट होने की सुविधा चालू कर देता है.
नहीं, कनेक्ट न करें पर टैप करने पर, डिवाइस नेटवर्क से डिसकनेक्ट हो जाता है. साथ ही, नेटवर्क के लिए, अपने-आप कनेक्ट होने की सुविधा बंद हो जाती है.
लागू करना
TOFU सुविधा को चालू करने के लिए, Android Open Source Project (AOSP) में दिए गए सप्लीकेंट HAL को
/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant पर लागू करें.
Android 13 में, ऐप्लिकेशन के इस्तेमाल के लिए ये सार्वजनिक एपीआई उपलब्ध हैं:
WifiManager#isTrustOnFirstUseSupported(): इससे पता चलता है कि डिवाइस TOFU की सुविधा के साथ काम करता है या नहीं.WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): इससे TOFU की सुविधा चालू होती है.WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): इससे पता चलता है कि TOFU की सुविधा चालू है या नहीं.
सत्यापन
अपने डिवाइस पर TOFU को लागू करने की पुष्टि करने के लिए, ये टेस्ट करें:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest