PEAP es similar en diseño a EAP-TTLS, requiere solo un certificado de PKI del lado del servidor para crear un túnel TLS seguro para proteger la autenticación del usuario, y utiliza certificados de clave pública del lado del servidor para autenticar el servidor. A continuación, crea un túnel TLS cifrado entre el cliente y el servidor de autenticación. En la mayoría de las configuraciones, las claves para este cifrado se transportan utilizando la clave pública del servidor. El intercambio subsiguiente de información de autenticación dentro del túnel para autenticar al cliente se cifra y las credenciales de usuario están a salvo de escuchas.
A partir de mayo de 2005, había dos subtipos PEAP certificados para el estándar actualizado WPA y WPA2. Lo son:
- PEAPv0 / EAP-MSCHAPv2
- PEAPv1 / EAP-GTC
PEAPv0 y PEAPv1 se refieren al método de autenticación externo y son los mecanismos que crean el túnel TLS seguro para proteger las transacciones de autenticación posteriores. EAP-MSCHAPv2 y EAP-GTC se refieren a los métodos de autenticación internos que proporcionan autenticación de usuario o dispositivo. Un tercer método de autenticación comúnmente utilizado con PEAP es EAP-SIM.
Dentro de los productos Cisco, PEAPv0 es compatible con los métodos EAP internos EAP-MSCHAPv2 y EAP-SIM, mientras que PEAPv1 es compatible con los métodos EAP internos EAP-GTC y EAP-SIM. Dado que Microsoft solo admite PEAPv0 y no admite PEAPv1, Microsoft simplemente lo llama «PEAP» sin el designador v0 o v1. Otra diferencia entre Microsoft y Cisco es que Microsoft solo admite el método EAP-MSCHAPv2 y no el método EAP-SIM.
Sin embargo, Microsoft admite otra forma de PEAPv0 (que Microsoft llama PEAP-EAP-TLS) que muchos de Cisco y otros servidores y software cliente de terceros no admiten. PEAP-EAP-TLS requiere que el cliente instale un certificado digital del lado del cliente o una tarjeta inteligente más segura. PEAP-EAP-TLS es muy similar en funcionamiento al EAP-TLS original, pero proporciona un poco más de protección porque las partes del certificado de cliente que no están cifradas en EAP-TLS están cifradas en PEAP-EAP-TLS. En última instancia, PEAPv0/EAP-MSCHAPv2 es, con mucho, la implementación más prevalente de PEAP, debido a la integración de PEAPv0 en productos de Microsoft Windows. El cliente CSSC de Cisco ahora es compatible con PEAP-EAP-TLS.
PEAP ha tenido tanto éxito en el mercado que incluso el software Funk (adquirido por Juniper Networks en 2005), el inventor y patrocinador de EAP-TTLS, agregó soporte para PEAP en su software de servidor y cliente para redes inalámbricas.