Protocole EAP (Extensible Authentication Protocol) pour l’accès réseau

Le protocole EAP (Extensible Authentication Protocol) est une infrastructure d’authentification qui permet l’utilisation de différentes méthodes d’authentification pour les technologies d’accès réseau sécurisées. Les exemples de ces technologies incluent l’accès sans fil à l’aide de LA NORME IEEE 802.1X, l’accès câblé utilisant IEEE 802.1X et les connexions PPP (Point-to-Point Protocol) comme le réseau privé virtuel (VPN). Le protocole EAP n'est pas une méthode d'authentification comme MS-CHAP v2. Il s'agit d'une infrastructure sur le client d'accès et sur le serveur d'authentification qui permet aux fournisseurs d'équipements réseau de développer et d'installer facilement de nouvelles méthodes d'authentification, connues sous le nom de « méthodes EAP ». Le framework EAP est initialement défini par le RFC 3748 et étendu par d’autres RFC et normes.

Méthodes d’authentification

Les méthodes d’authentification EAP utilisées dans le cadre des méthodes EAP par tunnel sont généralement dites méthodes internes ou encore types EAP. Les méthodes configurées comme méthodes internes ont les mêmes paramètres de configuration que si elles étaient utilisées comme méthodes externes. Cet article contient des informations de configuration propres aux méthodes d’authentification suivantes dans EAP.

EAP-TLS : Méthode EAP basée sur des normes, utilisant TLS avec des certificats pour l’authentification mutuelle. Apparaît comme Carte à puce ou autre certificat (EAP-TLS) dans Windows. EAP-TLS peut être déployé comme méthode interne d’une autre méthode EAP ou comme méthode EAP autonome.

Conseil

Étant basées sur des certificats, les méthodes EAP qui utilisent EAP-TLS offrent généralement le niveau de sécurité le plus élevé. Par exemple, EAP-TLS est la seule méthode EAP autorisée pour le mode WPA3-Enterprise 192 bits.

EAP-MSCHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol version 2) : Méthode EAP définie par Microsoft qui encapsule le protocole d’authentification MSCHAP v2, utilisant le nom d’utilisateur et un mot de passe pour l’authentification. Apparaît comme Mot de passe sécurisé (EAP-MSCHAP v2) dans Windows. EAP-MSCHAPv2 peut également être utilisé comme méthode autonome pour VPN, mais uniquement comme méthode interne pour une connexion câblée/sans fil.

Avertissement

Les connexions MSCHAPv2 peuvent faire l’objet d’attaques similaires à celles dont fait l’objet NTLMv1. Windows 11 Entreprise version 22H2 (build 22621) active Windows Defender Credential Guard, ce qui peut entraîner des problèmes avec les connexions MSCHAPv2.

PEAP (Protected EAP) : Méthode EAP définie par Microsoft qui encapsule EAP dans un tunnel TLS. Le tunnel TLS sécurise la méthode EAP interne, qui, sinon, pourrait ne pas être protégée. Windows prend en charge EAP-TLS et EAP-MSCHAP v2 comme méthodes internes.

EAP-TTLS (EAP-Tunneled Transport Layer Security) : Décrite par RFC 5281, encapsule une session TLS qui effectue une authentification mutuelle à l’aide d’un autre mécanisme d’authentification interne. Cette méthode interne peut être un protocole EAP comme EAP-MSCHAP v2 ou un protocole non-EAP comme le protocole PAP (Password Authentication Protocol). Dans Windows Server 2012, l’inclusion d’EAP-TTLS fournit une prise en charge côté client uniquement (dans Windows 8). NPS ne prend pas en charge EAP-TTLS pour le moment. La prise en charge du client permet l’interopérabilité avec les serveurs RADIUS couramment déployés, qui prennent en charge EAP-TTLS.

EAP-SIM (EAP-Subscriber Identity Module), EAP-AKA (EAP-Authentication and Key Agreement) et EAP-AKA' (EAP-AKA Prime) : Décrite par différents RFC, active l’authentification à l’aide de cartes SIM et est implémenté quand un client achète un plan de service haut débit sans fil auprès d’un opérateur de réseau mobile. Dans le cadre du plan, le client reçoit généralement un profil sans fil qui est préconfiguré pour l’authentification SIM.

TEAP (Tunnel EAP) : Décrite par RFC 7170, méthode EAP tunnelée qui établit un tunnel TLS sécurisé et exécute d’autres méthodes EAP dans ce tunnel. Prend en charge le chaînage EAP, l’authentification de l’ordinateur et de l’utilisateur au sein d’une session d’authentification. Dans Windows Server 2022, l’inclusion de TEAP fournit une prise en charge côté client uniquement - Windows 10 version 2004 (build 19041). NPS ne prend pas en charge TEAP pour l’instant. La prise en charge du client permet l’interopérabilité avec les serveurs RADIUS couramment déployés, qui prennent en charge TEAP. Windows prend en charge EAP-TLS et EAP-MSCHAP v2 comme méthodes internes.

Le tableau suivant liste certaines méthodes EAP courantes et leurs numéros de type de méthode attribués par l’IANA.

Méthode EAP Numéro de type attribué par l’IANA Prise en charge native de Windows
MD5-Challenge (EAP-MD5) 4
One-Time Password (EAP-OTP) 5
Generic Token Card (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP v2 26
Protected One-Time Password (EAP-POTP) 32
EAP-FAST 43
Pre-Shared Key (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA’ 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

Configuration des propriétés EAP

Vous pouvez accéder aux propriétés EAP pour un accès câblé et sans fil authentifié 802.1X de différentes façons :

Vous pouvez accéder aux propriétés EAP pour les connexions réseau privé virtuel (VPN) de différentes façons :

  • Utilisation de logiciels de gestion des appareils (MDM, Mobile Device Management) comme Intune
  • En configurant manuellement les connexions VPN sur les ordinateurs clients
  • En utilisant le Kit d’administration de Connection Manager pour configurer les connexions VPN

Pour plus d’informations sur la configuration des propriétés EAP, reportez-vous à Configurer des profils et des paramètres EAP dans Windows.

Profils XML pour EAP

Les profils utilisés pour les différents types de connexions sont des fichiers XML contenant les options de configuration de cette connexion. Chaque type de connexion différent suit un schéma spécifique :

Toutefois, chaque schéma de profil configuré pour utiliser EAP a un élément EapHostConfig enfant.

  • Câblé/sans fil : EapHostConfig est un élément enfant de l’élément EAPConfig. Sécurité MSM (sans fil câblé/) > OneX > EAPConfig>
  • VPN : EapHostConfig est un élément enfant de NativeProfile > Authentication > Eap > Configuration

Cette syntaxe de configuration est définie dans la spécification Group Policy: Wireless/Wired Protocol Extension.

Notes

Les différentes interfaces utilisateur graphiques ne présentent pas toujours toutes les options techniquement possibles. Par exemple, Windows Server 2019 (et versions antérieures) ne permet pas de configurer TEAP dans l’interface utilisateur. Toutefois, il est souvent possible d’importer un profil XML existant, qui a déjà été configuré.

Le reste de l’article a pour but d’établir une corrélation entre les parties spécifiques EAP de l’interface utilisateur Stratégie de groupe/Panneau de configuration et les options de configuration XML, ainsi qu’à fournir une description du paramètre.

Pour plus d’informations sur la configuration des profils XML, consultez Profils XML. Vous trouverez un exemple d’utilisation d’un profil XML contenant des paramètres EAP dans Provisionner un profil Wi-Fi via un site web.

Paramètres de sécurité

Le tableau suivant explique les paramètres de sécurité configurables pour un profil qui utilise 802.1X. Ces paramètres sont mappés à OneX.

Paramètre Élément XML Description
Sélectionner une méthode d’authentification réseau : EAPConfig Vous permet de sélectionner la méthode EAP à utiliser pour l’authentification. Consultez Paramètres de configuration de la méthode d’authentification et Paramètres de configuration de l’authentification cellulaire
Propriétés Ouvre la boîte de dialogue Propriétés de la méthode EAP sélectionnée.
Mode d'authentification authMode Spécifie le type d’informations d’identification utilisées pour l’authentification. Les valeurs suivantes sont prises en charge :

1. Authentification de l’utilisateur ou de l’ordinateur
2. Authentification de l’ordinateur
3. Authentification de l’utilisateur
4. Authentification d’invité

Dans ce contexte, « Ordinateur » signifie « Machine » dans d’autres références. machineOrUser est la valeur par défaut dans Windows.
Nbre max. d'échecs d'authentification maxAuthFailures Spécifie le nombre maximal d’échecs d’authentification autorisés pour un ensemble d’informations d’identification, la valeur par défaut étant 1.
Mettre en cache les informations de l’utilisateur pour les connexions ultérieures à ce réseau cacheUserData Spécifie si les informations d’identification de l’utilisateur doivent être mises en cache pour les connexions suivantes au même réseau, la valeur par défaut étant true.

Paramètres de sécurité avancés et IEEE 802.1X

Si l’option Appliquer les paramètres avancés 802.1X est cochée, tous les paramètres suivants sont configurés. Si elle n’est pas cochée, les paramètres par défaut s’appliquent. Au format XML, tous les éléments sont facultatifs, avec les valeurs par défaut utilisées s’ils ne sont pas indiqués.

Paramètre Élément XML Description
Nbre max. de messages Eapol-Start maxStart Spécifie le nombre maximal de messages EAPOL-Start pouvant être envoyés à l’authentificateur (serveur RADIUS) avant que le demandeur (client Windows) suppose qu’aucun authentificateur n’est présent, la valeur par défaut étant 3.
Période de démarrage (s) startPeriod Spécifie le temps d’attente (en secondes) avant l’envoi d’un message EAPOL-Start pour démarrer le processus d’authentification 802.1X, la valeur par défaut étant 5.
Période de maintien (s) heldPeriod Spécifie le temps d’attente (en secondes) après l’échec d’une tentative d’authentification pour réessayer l’authentification, la valeur par défaut étant 1.
Période d'authentification (s) authPeriod Spécifie le temps d’attente (en secondes) d’une réponse de l’authentificateur (serveur RADIUS) avant de supposer qu’aucun authentificateur n’est présent, la valeur par défaut étant 18.
Message Eapol-Start supplicantMode Spécifie la méthode de transmission utilisée pour les messages EAPOL-Start. Les valeurs suivantes sont prises en charge :

1. Ne pas transmettre (inhibitTransmission)
2. Transmettre (includeLearning)
3. Transmettre via IEEE 802.1X (compliant)

Dans ce contexte, « Ordinateur » signifie « Machine » dans d’autres références. compliant est la valeur par défaut dans Windows et est la seule option valide pour les profils sans fil.

Paramètres de sécurité avancés et authentification unique >

Le tableau suivant explique les paramètres d’Authentification unique (SSO), anciennement connu sous le nom de Fournisseur d’accès de pré-ouverture de session (PLAP).

Paramètre Élément XML Description
Activer l'authentification unique pour ce réseau singleSignOn Spécifie si l’authentification unique est activée pour ce réseau, la valeur par défaut étant false. N’utilisez pas singleSignOn dans un profil si le réseau n’en a pas besoin.
Immédiatement avant l’utilisateur

Immédiatement après l’utilisateur
type Spécifie si l’authentification unique doit être effectuée avant ou après la connexion de l’utilisateur.
Délai maximal pour la connectivité (en secondes) maxDelay Spécifie le délai maximal (en secondes) avant l’échec de la tentative d’authentification unique, la valeur par défaut étant 10.
Autoriser l’affichage de boîtes de dialogue supplémentaires lors de l’authentification unique allowAdditionalDialogs Spécifie s’il faut autoriser l’affichage des boîtes de dialogue EAP pendant l’authentification unique, la valeur par défaut étant false.
Ce réseau utilise différents VLAN pour gérer l'authentification via des informations d'identification utilisateur et ordinateur userBasedVirtualLan Spécifie si le réseau local virtuel (VLAN) utilisé par l’appareil change en fonction des informations d’identification de l’utilisateur, la valeur par défaut étant false.

Paramètres de configuration de la méthode d’authentification

Attention

Un serveur d’accès réseau configuré pour autoriser le même type de méthode d’authentification pour une méthode EAP tunnelée (par exemple, PEAP) et une méthode EAP non tunnelée (par exemple, EAP-MSCHAP v2) peut donner lieu à une faille de sécurité potentielle. Quand vous déployez une méthode EAP tunnelée et EAP (qui n’offre pas de protection), n’utilisez pas le même type d’authentification. Par exemple, si vous déployez PEAP-TLS, ne déployez pas aussi EAP-TLS. En effet, si vous avez besoin de la protection du tunnel, il est inutile de permettre l’exécution de la méthode hors du tunnel.

Le tableau suivant décrit les paramètres configurables pour chaque méthode d’authentification.

Les paramètres EAP-TLS dans l’interface utilisateur correspondent à EapTlsConnectionPropertiesV1, qui est étendu par EapTlsConnectionPropertiesV2 et EapTlsConnectionPropertiesV3.

Paramètre Élément XML Description
Utiliser ma carte à puce CredentialsSource > SmartCard Spécifie que les clients effectuant des demandes d’authentification doivent présenter un certificat de carte à puce pour l’authentification réseau.
Utiliser un certificat sur cet ordinateur CredentialsSource > CertificateStore Spécifie que les clients doivent, pour s’authentifier, utiliser un certificat qui se trouve dans le magasin de certificats Utilisateur actuel ou Ordinateur local .
Utiliser la sélection de certificat simple (recommandé) SimpleCertSelection Spécifie si Windows sélectionne automatiquement un certificat pour l’authentification sans interaction de l’utilisateur (dans la mesure du possible) ou si Windows affiche une liste déroulante permettant à l’utilisateur de sélectionner un certificat.
Avancée Ouvre la boîte de dialogue Configurer la sélection des certificats.
Options de validation du serveur
Utiliser un nom d'utilisateur différent pour la connexion DifferentUsername Spécifie s’il faut utiliser un nom d’utilisateur pour l’authentification qui est différent d’un nom d’utilisateur du certificat.

Le tableau suivant liste les paramètres de configuration pour Configurer la sélection du certificat. Ces paramètres définissent les critères qu’un client utilise pour sélectionner le certificat approprié pour l’authentification. Cette interface utilisateur est mappée à TLSExtensions > FilteringInfo.

Setting Élément XML Description
Émetteur de certificat CAHashList Enabled="true" Spécifie si le filtrage Émetteur de certificat est activé.

Si les options Émetteur de certificat et Utilisation améliorée de la clé sont activées, seuls les certificats qui remplissent les deux conditions sont considérés comme des certificats valides pour les besoins de l’authentification du client auprès du serveur.

Autorités de certification racines IssuerHash Répertorie les noms de tous les émetteurs pour lesquels les certificats d’autorité de certification correspondants sont présents dans le magasin de certificats Autorités de certification racines de confiance ou Autorités de certification intermédiaires du compte d’ordinateur local. notamment :

1. Toutes les autorités de certification racines et toutes les autorités de certification intermédiaires.
2. Contient uniquement les émetteurs pour lesquels des certificats valides correspondants sont présents sur l’ordinateur (par exemple, des certificats qui n’ont pas expiré ou qui n’ont pas été révoqués).
3. La liste finale des certificats qui sont autorisés pour l’authentification contient uniquement les certificats qui ont été émis par l’un des émetteurs sélectionnés dans cette liste.

En XML, il s’agit de l’empreinte SHA-1 (hachage) du certificat.

Utilisation améliorée de la clé Vous permet de sélectionner Tous les motifs, Authentification du client, N’importe quel motif ou toute combinaison de ces éléments. Spécifie que lorsqu’une combinaison est sélectionnée, tous les certificats remplissant au moins une des trois conditions sont considérés comme des certificats valides pour l’authentification du client auprès du serveur. Si le filtrage basé sur l’utilisation améliorée de la clé est activé, l’une des options doit être sélectionnée. Sinon, la case Utilisation améliorée de la clé est décochée.
Tous les motifs AllPurposeEnabled Lorsqu’il est sélectionné, cet élément spécifie que les certificats ayant l’EKU Tous les motifs sont considérés comme des certificats valides pour l’authentification du client auprès du serveur. L’identificateur d’objet (OID) pour Tout usage est 0 ou vide.
Authentification du client ClientAuthEKUList Enabled="true" (> EKUMapInList > EKUName) Spécifie que les certificats ayant l’EKU Authentification du client et la liste d’EKU spécifiée sont considérés comme des certificats valides pour l’authentification du client auprès du serveur. L’identificateur d’objet (OID) pour l’authentification du client est 1.3.6.1.5.5.7.3.2.
N’importe quel motif AnyPurposeEKUList Enabled="true" (> EKUMapInList > EKUName) Spécifie que les certificats ayant l’EKU N’importe quel motif et la liste d’EKU spécifiée sont considérés comme des certificats valides pour l’authentification du client auprès du serveur. L’identificateur d’objet (OID) pour N’importe quel motif est 1.3.6.1.4.1.311.10.12.1.
Ajouter EKUMapping > EKUMap > EKUName/EKUOID Ouvre la boîte de dialogue Sélectionner des utilisations améliorées de la clé, qui vous permet d’ajouter des EKU standard, personnalisées ou propres au fournisseur à la liste Authentification du client ou N’importe quel motif.

Si vous sélectionnez Ajouter ou Modifier dans la boîte de dialogue Sélectionner des utilisations améliorées de la clé, la boîte de dialogue Ajouter/Modifier une utilisation améliorée de la clé s’ouvre et fournit deux options :
1. Entrez le nom de l’utilisation améliorée de la clé : Fournit un emplacement pour taper le nom de l’utilisation améliorée de la clé personnalisée.
2. Entrez l’OID de l’utilisation améliorée de la clé : Fournit un emplacement pour taper l’OID de l’utilisation améliorée de la clé. Seuls les chiffres numériques, les séparateurs et . sont autorisés. Les caractères génériques sont autorisés ; dans ce cas, tous les OID enfants dans la hiérarchie sont autorisés.

Par exemple, l’entrée de 1.3.6.1.4.1.311.* autorise 1.3.6.1.4.1.311.42 et 1.3.6.1.4.1.311.42.2.1.

Modifier Vous permet de modifier des EKU personnalisées que vous avez ajoutées. Les EKU prédéfinies par défaut ne peuvent pas être modifiées.
Remove Supprime l’EKU sélectionnée dans la liste Authentification client ou N’importe quel motif.

Validation du serveur

De nombreuses méthodes EAP incluent une option permettant au client de valider le certificat du serveur. Si le certificat de serveur n’est pas validé, le client ne peut pas être sûr qu’il communique avec le bon serveur. Cela expose le client à des risques de sécurité, notamment à la possibilité qu’il se connecte sans le savoir à un réseau non autorisé.

Notes

Windows nécessite que le certificat de serveur ait la référence EKU Authentification du serveur. L’identificateur d’objet (OID) pour cette référence EKU est 1.3.6.1.5.5.7.3.1.

Le tableau suivant répertorie les options de validation du serveur applicables à chaque méthode EAP. Windows 11 a mis à jour la logique de validation du serveur pour qu’elle soit plus cohérente (consultez Comportement de validation du certificat de serveur mis à jour dans Windows 11). En cas de conflit, les descriptions du tableau suivant décrivent le comportement dans les versions Windows 10 et antérieures.

Paramètre Élément XML Description
Vérifier l’identité du serveur en validant le certificat EAP-TLS :
PerformServerValidation

PEAP :
PerformServerValidation
Cet élément spécifie que le client vérifie que les certificats de serveur présentés à l’ordinateur client disposent des signatures correctes, n’ont pas expiré et ont été émis par une autorité de certification racine de confiance.

La désactivation de cette case à cocher entraîne l’impossibilité pour les ordinateurs clients de vérifier l’identité de vos serveurs pendant le processus d’authentification. Si l’authentification des serveurs n’a pas lieu, les utilisateurs s’exposent à des risques de sécurité graves, avec notamment la possibilité que des utilisateurs se connectent sans le savoir à des réseaux non autorisés.

Connexion à ces serveurs EAP-TLS :
ServerValidation > ServerNames

PEAP :
ServerValidation > ServerNames

EAP-TTLS :
ServerValidation>
ServerNames

TEAP :
ServerValidation>
ServerNames
Permet de spécifier le nom des serveurs RADIUS (Remote Authentication Dial-In User Service) qui assurent l’authentification et l’autorisation réseau.

Vous devez taper le nom exactement tel qu’il apparaît dans le champ Objet de chaque certificat de serveur RADIUS ou utiliser des expressions régulières (regex) pour spécifier le nom du serveur.

La syntaxe complète de l’expression régulière peut être utilisée pour indiquer le nom du serveur, mais pour différencier une expression régulière d’une chaîne littérale, vous devez utiliser au moins un * dans la chaîne spécifiée. Par exemple, vous pouvez spécifier nps.*\.example\.com pour spécifier le serveur RADIUS nps1.example.com ou nps2.example.com.

Vous pouvez également inclure un ; pour séparer plusieurs serveurs.

Si aucun serveur RADIUS n’est spécifié, le client vérifie toujours que le certificat de serveur RADIUS a été émis par une AC racine de confiance.

Autorités de certification racines de confiance EAP-TLS :
ServerValidation > TrustedRootCA

PEAP :
ServerValidation > TrustedRootCA

EAP-TTLS :
ServerValidation>
TrustedRootCAHashes

TEAP :
ServerValidation>
TrustedRootCAHashes
Répertorie les autorités de certification racines de confiance. La liste est créée à partir des autorités de certification racines approuvées installées dans les magasins de certificats de l’ordinateur et de l’utilisateur. Vous pouvez spécifier quels sont les certificats d’autorité de certification racine de confiance utilisés par les demandeurs pour déterminer s’ils font confiance à vos serveurs, par exemple votre serveur exécutant NPS ou votre serveur d’approvisionnement. Si aucune autorité de certification racine de confiance n’est sélectionnée, le client 802.1X vérifie si le certificat d’ordinateur du serveur RADIUS a été émis par une autorité de certification racine de confiance installée. Si une ou plusieurs autorités de certification racines de confiance sont sélectionnées, le client 802.1X vérifie si le certificat d’ordinateur du serveur RADIUS a été émis par une autorité de certification racine de confiance sélectionnée.

Si aucune AC racine de confiance n’est sélectionnée, le client vérifie toujours que le certificat de serveur RADIUS a été émis par une AC racine de confiance.

Si vous disposez d’une infrastructure à clé publique (PKI) sur votre réseau et que vous utilisez votre autorité de certification pour émettre des certificats à vos serveurs RADIUS, votre certificat d’autorité de certification est automatiquement ajouté à la liste des autorités de certification racines de confiance. Vous pouvez également acheter un certificat d’autorité de certification auprès d’un fournisseur autre que Microsoft. Certaines autorités de certification racines de confiance non-Microsoft fournissent avec le certificat que vous avez acheté un logiciel qui installe automatiquement le certificat acheté dans le magasin de certificats Autorités de certification racines de confiance. Dans ce cas, l’autorité de certification racine de confiance apparaît automatiquement dans la liste des autorités de certification racines de confiance.

Ne spécifiez pas un certificat d’AC racine de confiance qui ne figure pas dans les magasins de certificats Autorités de certification racines de confiance des ordinateurs clients pour Utilisateur actuel et Ordinateur local. Si vous désignez un certificat qui n’est pas installé sur les ordinateurs clients, l’authentification échoue.

Au format XML, il s’agit de l’empreinte SHA-1 (hachage) du certificat (ou SHA-256 pour TEAP).

Invite utilisateur de validation du serveur

Le tableau suivant répertorie les options d’invite utilisateur de validation du serveur applicables à chaque méthode EAP. Ces options sont utilisées, dans le cas d’un certificat de serveur non approuvé, pour :

  • échec immédiat de la connexion, ou
  • autoriser l’utilisateur à accepter ou à rejeter manuellement la connexion.
Paramètre Élément XML
Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées ServerValidation > DisableUserPromptForServerValidation

Permet d’éviter de demander à l’utilisateur d’approuver un certificat de serveur si celui-ci est incorrectement configuré, n’est pas encore approuvé ou les deux (en cas d’activation). Pour simplifier l’expérience utilisateur et empêcher les utilisateurs d’approuver par erreur un serveur déployé par un attaquant, il est recommandé de cocher cette case.

Paramètres de configuration de l’authentification cellulaire

La liste suivante répertorie les paramètres de configuration respectivement pour EAP-SIM, EPA-AKA et EPA-AKA'.

EAP-SIM est défini dans le document RFC 4186. EAP-SIM (Subscriber Identity Module) est utilisé pour l’authentification et la distribution de clés de session avec un module SIM de réseau mobile de 2e génération GSM (Global System for Mobile Communications).

Les paramètres EAP-SIM dans l’interface utilisateur correspondent à EapSimConnectionPropertiesV1.

Élément Élément XML Description
Utiliser des clés de chiffrement fortes UseStrongCipherKeys Si cette option est sélectionnée, spécifie que le profil utilise un chiffrement renforcé.
Ne pas révéler l’identité réelle au serveur quand un pseudonyme est disponible DontRevealPermanentID Si cette option est activée, force l’échec de l’authentification du client si les demandes de serveur en matière d’identité permanente par le biais du client ont un pseudonyme. Les pseudonymes sont utilisés à des fins de protection de la confidentialité, de manière à ce que l’identité réelle ou permanente d’un utilisateur ne soit pas indiquée lors de l’authentification.
ProviderName Disponible uniquement en XML, chaîne qui indique le nom du fournisseur autorisé pour l’authentification.
Activer l'utilisation des domaines Realm=true Fournit un emplacement pour taper le nom de domaine. Si ce champ n’est pas renseigné et que l’option Activer l’utilisation des domaines est sélectionnée, le domaine est dérivé de l’identité IMSI (International Mobile Subscriber Identity) à l’aide du domaine 3gpp.org, comme décrit dans la norme 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
Spécifier un domaine Realm Fournit un emplacement pour taper un nom de domaine. Si l’option Activer l’utilisation des domaines est activée, cette chaîne est utilisée. Si ce champ est vide, le domaine dérivé est utilisé.

Mode WPA3-Enterprise 192 bits

Le mode WPA3-Enterprise 192 bits est un mode spécial pour WPA3-Enterprise qui applique certaines exigences de sécurité élevées sur la connexion sans fil pour fournir un minimum de 192 bits de sécurité. Ces exigences s’alignent sur la Suite CNSA (Commercial National Security Algorithm), CNSSP 15, qui est un ensemble d’algorithmes de chiffrement approuvé pour la protection des informations classifiées et des informations les plus secrètes par la National Security Agency (NSA) des États-Unis. Le mode 192 bits peut parfois être appelé « Mode Suite B » pour faire référence à la spécification NSA Suite B Cryptography, qui a été remplacée par la CNSA en 2016.

Les modes WPA3-Enterprise et WPA3-Enterprise 192 bits sont disponibles à compter de Windows 10, version 2004 (build 19041) et Windows Server 2022. Toutefois, WPA3-Enterprise a été désigné comme un algorithme d’authentification distinct dans Windows 11. Au format XML, cette valeur est spécifiée dans l’élément authEncryption.

Le tableau suivant répertorie les algorithmes requis par CNSA Suite.

Algorithm Description Paramètres
AES (Advanced Encryption Standard) Chiffrement par bloc symétrique utilisé pour le chiffrement Clé 256 bits (AES-256)
Échange de clés ECDH (Elliptic Curve Diffie-Hellman) Algorithme asymétrique utilisé pour établir un secret partagé (clé) Courbe de module premier 384 bits (P-384)
Algorithme de signature numérique à courbe elliptique (ECDSA) Algorithme asymétrique utilisé pour les signatures numériques Courbe de module premier 384 bits (P-384)
algorithme de hachage sécurisé (Secure Hash Algorithm ou SHA) Fonction de hachage de chiffrement SHA-384
Échange de clés DH (Diffie-Hellman) Algorithme asymétrique utilisé pour établir un secret partagé (clé) Module 3 072 bits
Rivest-Shamir-Adleman (RSA) Algorithme asymétrique utilisé pour les signatures numériques ou l’établissement de clés Module 3 072 bits

En alignement avec la CNSA, le mode WPA3-Enterprise 192 bits nécessite qu’EAP-TLS soit utilisé avec les suites de chiffrement suivantes avec des restrictions :

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • ECDHE et ECDSA utilisant la courbe de module premier 384 bits P-384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • ECDHE utilisant la courbe de module premier 384 bits P-384
    • RSA >= module 3 072 bits

Notes

P-384 est également appelé secp384r1 ou nistp384. D’autres courbes elliptiques, telles que P-521, ne sont pas autorisées.

SHA-384 fait partie de la famille de fonctions de hachage SHA-2. D’autres algorithmes et variantes comme SHA-512 ou SHA3-384, ne sont pas autorisés.

Windows prend uniquement en charge les suites de chiffrement TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 pour le mode WPA3-Enterprise 192 bits. La suite de chiffrement TLS_DHE_RSA_AES_256_GCM_SHA384 n’est pas prise en charge.

TLS 1.3 utilise de nouvelles suites TLS simplifiées, parmi lesquelles seule TLS_AES_256_GCM_SHA384 est compatible avec le mode WPA3-Enterprise 192 bits. Étant donné que TLS 1.3 nécessite (EC)DHE et autorise les certificats ECDSA ou RSA, ainsi que le hachage AEAD et SHA384 AES-256, TLS_AES_256_GCM_SHA384 équivaut à TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Toutefois, RFC 8446 exige que les applications compatibles TLS 1.3 prennent en charge P-256, ce qui est interdit par la CNSA. Par conséquent, le mode WPA3-Enterprise 192 bits ne peut pas être entièrement conforme à TLS 1.3. Toutefois, il n’existe aucun problème d’interopérabilité connu avec TLS 1.3 et le mode WPA3-Enterprise 192 bits.

Pour configurer un réseau pour le mode WPA3-Enterprise 192 bits, Windows nécessite l’utilisation d’EAP-TLS avec un certificat qui répond aux exigences décrites précédemment.

Ressources supplémentaires