Я хочу знать, как разделить сеть предприятия WPA2 с EAP-TLS, аутентифицируя пользователей с помощью общего сертификата. У них один и тот же сертификат. Боюсь, они могут следить друг за другом. Это возможно? В EAP-TLS клиенты шифруют свои пакеты с помощью собственных сертификатов или других ключей сеанса или иначе? На самом деле все пакеты в WPA2 зашифрованы, но как?
Боюсь, они могут следить друг за другом. Это возможно?
Да, это возможно. Клиенты используют свой сертификат для защиты сеансового ключа. Следовательно, если клиенты используют один и тот же сертификат с одним и тем же закрытым ключом, они могут перехватить и расшифровать сеансовый ключ и, в конечном итоге, все зашифрованные данные.
В EAP-TLS клиенты шифруют свои пакеты с помощью собственных сертификатов или других ключей сеанса или иначе?
пакеты шифруются с помощью сеансового ключа, который используется совместно клиентом и сервером. После того, как одноранговые узлы успешно аутентифицируют друг друга, создается сеансовый ключ. Сгенерированный сеансовый ключ зашифрован открытым ключом однорангового узла. То есть, когда сервер что-то шифрует с помощью открытого ключа клиента, только соответствующий держатель закрытого ключа может расшифровать это. В вашем случае все держатели сертификата смогут его расшифровать.
В результате использование одного и того же сертификата и закрытого ключа среди клиентов - не очень хорошая идея.