O protocolo EAP-TTLS

Esse documento é uma tradução livre do rascunho (draft) que descreve o protocolo EAP-TTLS, disponível em http://tools.ietf.org/html/draft-funk-eap-ttls-v0-05. Use por sua conta e risco.

[ Hits: 99.437 ]

Por: Perfil removido em 23/05/2008


Gerando material criptográfico



Após a conclusão bem sucedida de uma negociação EAP-TTLS, 128 octetos de material criptográfico é gerado e exportado para usar na segurança da conexão de dados entre o cliente e o ponto de acesso. Os primeiros 64 bits do material criptográfico recebe a denominação de MSK e os 64 bits restantes recebe a denominação EMSK.

O material criptográfico é gerado usando a função PRF de TLS [RFC 4346], com entradas baseadas na chave mestre TLS, a cadeia constante codificada em ASCII ("ttls keying material"), um número aleatório TLS do lado cliente e outro do lado servidor. A cadeia de caracteres constante não possui nulo de terminação.

MSK = material criptográfico com 64 octetos [0..63].
EMSK = material criptográfico com 64 octetos [64..127].

Modelo da função PRF, usada para gerar material criptográfico:

Keying Material = PRF-128 (
SecurityParameters.master_secret,
"ttls keying material",
SecurityParameters.client_random + SecurityParameters.server_random)

Observe que a ordem de Client_Random e Server_Random para EAP-TTLS é invertida em relação ao definido no protocolo TLS [RFC 4346]. Essa ordenação segue o método de derivação de chaves proposto para EAP-TLS [RFC 5216]. Alterando a ordem dos números aleatórios evita-se a colisão de espaços de nomes entre as cadeias definidas para EAP-TTLS e as definidas para o protocolo TLS.

O servidor TTLS distribui esse material criptográfico para o ponto de acesso através de um protocolo de portadora. Quando RADIUS é o protocolo de portadora, os atributos MPPE-Recv-Key e MPPE-Send-Key [RFC 2548] pode ser usado para distribuir os primeiros 32 octetos e os próximos 32 octetos de MSK, respectivamente.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Motivação
   3. Terminologia
   4. Modelo arquitetônico
   5. Modelo de camadas do protocolo
   6. Uma visão geral sobre EAP-TTLS
   7. Gerando material criptográfico
   8. O formato do pacote EAP-TTLS
   9. Encapsulamento de mensagens AVPs dentro da camada de gravação TLS
   10. Autenticação tunelada
   11. Estrutura de chaves
   12. Considerações de segurança
   13. Considerações finais
Outros artigos deste autor

Open source fomentando o conhecimento

Uso de terminologia imprópria com software livre

Migrando para Linux sem medo

Instalando o kernel 2.6.13 pré-compilado no Slackware 10.2

Como instalar o LAMP no openSUSE Leap e Tumbleweed

Leitura recomendada

Rage Against Binary Blob - sobre documentação aberta para hardware

Viva o Linux com bate-papo via web

Mrxvt x Gnome-Terminal x Konsole

Debate sobre o simulado do VOL

Oferta imperdível: Linux em promoção, somente hoje!

  
Comentários
[1] Comentário enviado por removido em 24/05/2008 - 14:09h

existe alguma aplicacao baseada nele?

[2] Comentário enviado por removido em 26/05/2008 - 20:49h

Timidboy... FreeRADIUS já implementa...


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts