On 2012.06.27 at 14:47:10 +0400, Stanislav Maslovski wrote: > On Wed, Jun 27, 2012 at 02:11:31PM +0400, Victor Wagner wrote: > > On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote: > > > > > > > > Как я понимаю, _только_ если сертификат сервера подписан известным root > > > CA. В PEAP для обмена credentials используется TLS, поэтому совсем без > > > сертификатов там никак. > > > > Ну почему никак? Можно совсем не проверять аутентичность сервера. > > Т.е., в принципе можно обойтись без ca_cert (потенциальная дыра в > безопасности), но без серверного сертификата (т.е., без public key > сервера) в PKI схеме не обойтись никак. То есть, _совсем_ без > сертификатов никак нельзя, что и имелось в виду.
С точки зрения пользователя - можно. Он того сертификата (предъявляемого сервером) не увидит никогда. А является ли блок данных переданный сервером в процессе хэндшейка сертификатом или блоком случайных чисел пользователю в общем-то пофиг. Вот со стороны админа, настраивающего такой доступ - не удастся. > > > > > Если же мое предположение относительно ca_cert неверно > > > (поэкспериментировать нет возможности), и wpa_supplicant принимает любой > > > серверный сертификат без валидации, когда опция ca_cert явно не > > > прописана в конфиге, то это большая дыра в секьюрити. > > > > Это зависит от топографии того места, где расположен данный wifi и > > возможности наличия злонамеренных инсайдлеров с hostapd. > > > > В более-менее нормальной конторе среднего размера, расположенной в > > отдельно стоящем здании посреди обнесенной забором территории с > > проходной, можно и без валидации сертификатов. > > Ну это не серьёзно. Направленные антенны ещё никто не отменял. Направленная антенна, вне здания притворяющаяся точкой доступа и обеспечивающая уровень сигнала выше чем у нормальной точки доступа? При условии что у 499 работников из 500 сертификат местного УЦ установлен и получив сообщение certificate verification failure они побегут к админу с ворпосом "что за нафиг?"? > -- > Stanislav > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact [email protected] > Archive: http://lists.debian.org/[email protected] > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
