Extensible Authentication Protocol

Ten minste één Wikipediagebruiker vindt dat de tekst van EAP in dit artikel ingevoegd zou moeten worden of dat er een duidelijkere afbakening tussen deze artikelen dient te worden gemaakt. Als de tekst wordt ingevoegd, dient dat artikel een doorverwijzing te worden (bekijk voorstel).
Haal de pagina echter niet leeg en verwijder deze boodschap niet voordat de discussie gesloten is.

Extensible Authentication Protocol (EAP) is een universeel raamwerk voor authenticatie gedefinieerd in Request For Comments (RFC) 3748. Het werkt op de data link layer van het OSI-model en is ontworpen voor gebruik bij Point to Point Protocol-verbindingen. Het heeft het Internetprotocol (IP) niet nodig en zorgt zelf voor retransmissie van verloren gegane pakketten of verwijdering van duplicaten. EAP beperkt zich niet tot, maar wordt wel het meest gebruikt bij draadloze netwerken (IEEE 802.X).

De structuur van een EAP-pakket is als volgt:

1. Code. 1 octet. Hieruit wordt opgemaakt welk type pakket is wat wordt gebruikt om het dataveld te bekijken. Het kan een van de vier waarden 1 request, 2 response, 3 success, 4 failure bevatten. Andere waarden dienen te worden genegeerd.
2. Identifier. 1 octet. Een unsigned integer gebruikt om request aan responses te koppelen. Retransmissies gebruiken dezelfde integer.
3. Length. 2 octetten. Bevat de lengte van het pakket. Bij sommige link layer protocollen is het nodig om padding te gebruiken. EAP negeert data die groter is dan beschreven in het lengteveld.
4. Data. Het data veld is het enige veld met variabele lengte, en kan ook 0 bytes groot zijn. De interpretatie van het data veld is gebaseerd op de waarde van het codeveld.

EAP verstrekt enkele gemeenschappelijke functies en een onderhandelingsmethode voor het gewenste authentificatiemechanisme. Dergelijke mechanismen worden methodes genoemd. EAP beschikt over ongeveer 40 verschillende methodes. De Wi-Fi Protected Access (WPA) en WPA2 standaarden kunnen officieel gebruik maken van vijf verschillende EAP methodes voor het authenticatiemechanisme.

EAP-MD5, gedefinieerd in RFC 3748, is ook een IETF open standaard maar biedt minimale beveiliging. De MD5 hashfunctie is kwetsbaar voor woordenlijstaanvallen en biedt geen ondersteuning voor wederkerige authenticatie or sleutel-generatie waardoor het ongeschikt is voor gebruik in een Wired Equivalent Privacy (WEP) of WPA/WPA2 omgeving.

De werking van de authenticatie is analoog met PPP Challenge Handshake Authentication Protocol (CHAP) (RFC 1994) en verloopt als volgt:

1. De authenticatie-server stuurt een zogenaamde challenge message via de authenticator naar de supplicant (clientcomputer).
2. De supplicant berekent een waarde door middel van de hash in combinatie met en geheim (wachtwoord) en stuurt dit als antwoord.
3. De authenticatie-server vergelijkt zijn eigen berekende waarde met de via de authenticator ontvangen waarde. Komen beiden overeen dan wordt de authenticatie bevestigd en wordt de supplicant tot het netwerk toegelaten, zoniet, dan wordt de verbinding verbroken.
4. Op willekeurige tijdstippen wordt een nieuwe challenge gestuurd en herhaalt zich het proces.

De opbouw van een EAP-MD5 pakket is als volgt:

• De eerste drie velden zijn identiek aan die van EAP-TLS
• Type is 4
• Het EAP-TLS veld "data" is hier "Type-Data"
  • Value-Size, 1 octet, geeft de lengte van de inhoud
  • Value. De challenge.
  • Name. Identificatie van de verzendende computer.