PEAP (Protected Extensible Authentication Protocol)
Das Protected Extensible Authentication Protocol (PEAP) ist eine Erweiterung des EAP. Es soll für mehr Sicherheit bei der Authentifizierung in WLANs sorgen. Sein Einsatz wird im Standard IEEE 802.1X empfohlen, der allgemein die Authentifizierung in Rechnernetzen regelt. PEAP unterstützt verschiedene Authentifizierungsverfahren, etwa die Identifikation über Nutzername und Passwort, über Zertifikate oder auch über die Informationen auf einer SIM-Karte.
PEAP korrigiert eine Schwachstelle in EAP, die gerade in drahtlosen Netzen problematisch sein kann. Das Extensible Authentication Protocol geht nämlich von einem geschützten Kanal für die Übertragung der Identitätsdaten aus. Dieser ist einem WLAN aber nicht notwendigerweise gegeben ist. PEAP überträgt deshalb die im EAP definierten Authentifizierungsinformationen über einen verschlüsselten TLS-Tunnel (Transport Layer Security). Um sicher zu gehen, dass die Gegenstelle auch die richtige ist, authentifiziert PEAP den Server mit einem digitalen Zertifikat. Jede WLAN-Station erhält dann einen eigenen Schlüssel. Wird PEAP in Kombination mit TKIP (Temporal Key Integrity Protocol) verwendet, ist dieser nur begrenzt gültig. Ähnlich funktioniert im Übrigen auch EAP-TLS, das ebenfalls auf Basis eines Serverzertifikats einen sicheren TLS-Tunnel aufbaut.
PEAP wurde vor allem von Cisco System, Microsoft und RSA Security gefördert, um die Schwächen des ursprünglich in WLANs verwendeten Verschlüsselungsprotokolls WEP (Wired Equivalent Privacy) auszugleichen. In WEP kommt ein viel zu kurzer, nur 24 Bit langer Initialisierungsvektor zum Einsatz. Außerdem verwendet WEP denselben Schlüssel für die Authentifizierung der Nutzer und die Verschlüsselung des Datenverkehrs. Knackt ein Angreifer den Schlüssel, so kann er sich nicht nur am Router anmelden, sondern auch den Datenverkehr des Anwenders mithören, dessen Schlüssel kompromittiert wurde.
In den Standards WPA (WiFi Protected Access) und WPA2 sind zwei Subtypen von PEAP zertifiziert, PEAPv0 und PEAPv1. Sie unterscheiden sich unter anderem darin, welche Authentifizierungsmethoden zum Einsatz kommen (Handshake, Generic Token Cards oder SIM-Karten).
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!