EAP-TLS: é possível espionagem ao compartilhar o certificado do cliente?

1

Eu quero saber como compartilhar uma rede de empresas WPA2 com o EAP-TLS, autenticando usuários com um certificado comum. Eles compartilham o mesmo certificado. Temo que eles possam monitorar um ao outro. Isso é possível? No EAP-TLS, os clientes criptografam seus pacotes com seus próprios certificados ou outras chaves de sessão? Na verdade, os pacotes no WPA2 são todos criptografados, mas como?

    
por jumeno 08.12.2014 / 07:59

1 resposta

2

I'm afraid they can monitor each other. Is that possible?

sim, é possível. Os clientes usam seu certificado para proteger a chave de sessão. Portanto, se os clientes compartilharem o mesmo certificado com a mesma chave privada, eles poderão interceptar e descriptografar a chave de sessão e, eventualmente, todos os dados criptografados.

In EAP-TLS, do clients encrypt their packets with their own certificates or other session keys or else?

os pacotes são criptografados por uma chave de sessão que é compartilhada entre o cliente e o servidor. Após os pares autenticarem-se com sucesso, é gerada uma chave de sessão. A chave de sessão gerada é criptografada pela chave pública de um par. Ou seja, quando o servidor criptografa algo com a chave pública do cliente, apenas o detentor da chave privada correspondente pode descriptografá-lo. No seu caso, todos os detentores de certificados poderão descriptografá-lo.

Como resultado, compartilhar o mesmo certificado e chave privada entre os clientes não é uma boa ideia.

    
por 08.12.2014 / 08:55