EAP-TLS - was wird wie verschlüsselt?

[lfehrmann]

Hallo zusammen,

bin sehr unschlüsslig was das Protokoll EAP-TLS angeht. Und zwar ist dies ja ein hybrides Verschlüsselungsprotokoll - also Verbindung von symmetrisch und asymmetrisch. Die Daten werden aber ja nur bei dem Verbindungsaufbau verschlüsselt, danach läuft die Kommunikation unverschlüsselt. Was wird aber nur während der übertragung wie verschlüsselt?

Danke für eure Hilfe!

[Crash2001]

Hallo,

EAP-TLS ist kein Verschlüsselungsprotokoll, sondern ein Authentifizierungs-Protokoll (EAP = Extensible Authentication Protocol, TLS = Transport Layer Security), das die Authentifizierung verschlüsselt macht. Wenn man einmal authentifiziert ist (z.B. Anmeldung an einem RADIUS server, dot1x, ...), wird darüber afaik nichts mehr verschlüsselt.

Bearbeitet 18. Mai 2011 von Crash2001

[lfehrmann]

Ja stimmt wohl hab mich nicht korrekt ausgedrückt. Aber welche Anmeldedaten werden denn nun wie verschlüsselt?

[lfehrmann]

vllt etwas konkreter.

TLS unterschstüzt viele verschienende Verschlüsselungsmethoden (RSA, AES, DES, 3DES...). Nun stellt sich mir die frage, welche Methode nun davon angewendet wird. Ich hab das so verstanden, dass sich Server und Client automatisch einigen.

Und dann stellt sich die frage, welche Daten genau wie verschlüsselt werden. z.B. wird bei EAP-TLS das Server/Clientzertifikat verschlüsselt?

Weil somit authentifizieren sich diese Netzwerkgeräte untereinander. Sonst andere Informationen sind doch nicht vorhanden oder?

[Crash2001]

Die Daten zur Authentifizierung werden verschlüsselt übertragen.

Das können Username/Password (RADIUS), eine elektronische Zertifizierung (Zertifikat) oder z.B. SIM (Subscriber Identity Module) sein. Welches genau, ist nur mit EAP-TLS nicht festgelegt.

Es wird hier der Authentifizierungsdialog von TLS / SSL verwendet.

[lfehrmann]

EAP-TLS basiert ja auf Zertifikate, somit ist ja kein Username+PW notwendig. Auf jeden Fall hab ich mich für die Authentifizierung mit Zertifikaten entschieden. Aber mir ist nicht ganz bewusst, was im einzelnen wie verschlüsselt wird.

Weil das Zertifikat kann doch eig. nicht verschlüsselt werden, da das Serverzertifiakt den öffentlichen Schlüssel besitzt um überhaupt verschlüsseln zu können.

[Crash2001]

Öööhm das ist nicht gesagt, dass das zwingend auf Zertifikaten basieren muss afaik. Vor allem kann auch Kombination aus Zertifikat und Username/PAsswort verwendet werden z.B. ...

Die Verschlüsselung wird doch zwischen den beiden Stellen ausgehandelt.

[lfehrmann]

Eigendlich schon!

Also bei PEAP gibts ein Serverzertifikat und der Client kann sich über EAP mit Benutzername und Kennwort anmelden

Und bei EAP-TTLS eig das gleiche, blos das hier verschiedene Möglichkeiten außer EAP zur Authentifizierung gibt.

Aber auf jeden Fall habe ich in meinem Projekt die Authentifizierung mit Zertifikaten gemacht, also ohne jegliche Eingabe von Daten (User-ID+PW).

Die Verschlüsselung wird zwischen den beiden Stellen ausgehandelt, ja... aber nach welchen Kriterien handeln die das aus :-)

Und kann man das selber überhaupt definieren, wie verschlüsselt wird.

Also auf dem RADIUS-Server (NPS) konnte man meiner Meinung nach nur für die Integrität das Verfahren festlegen, aber da bin ich mir nicht gaanz sicher.