PEAP est de conception similaire à EAP-TTLS, ne nécessitant qu’un certificat PKI côté serveur pour créer un tunnel TLS sécurisé pour protéger l’authentification de l’utilisateur, et utilise des certificats de clé publique côté serveur pour authentifier le serveur. Il crée ensuite un tunnel TLS chiffré entre le client et le serveur d’authentification. Dans la plupart des configurations, les clés de ce chiffrement sont transportées à l’aide de la clé publique du serveur. L’échange d’informations d’authentification qui s’ensuit à l’intérieur du tunnel pour authentifier le client est ensuite crypté et les informations d’identification de l’utilisateur sont à l’abri des écoutes.
En mai 2005, deux sous-types de PEAP étaient certifiés pour les normes WPA et WPA2 mises à jour. Ils sont:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
PEAPv0 et PEAPv1 font tous deux référence à la méthode d’authentification externe et sont les mécanismes qui créent le tunnel TLS sécurisé pour protéger les transactions d’authentification ultérieures. EAP-MSCHAPv2 et EAP-GTC font référence aux méthodes d’authentification internes qui fournissent l’authentification de l’utilisateur ou de l’appareil. Une troisième méthode d’authentification couramment utilisée avec PEAP est EAP-SIM.
Dans les produits Cisco, PEAPv0 prend en charge les méthodes EAP internes EAP-MSCHAPv2 et EAP-SIM tandis que PEAPv1 prend en charge les méthodes EAP internes EAP-GTC et EAP-SIM. Comme Microsoft ne prend en charge que PEAPv0 et ne prend pas en charge PEAPv1, Microsoft l’appelle simplement « PEAP » sans le désignateur v0 ou v1. Une autre différence entre Microsoft et Cisco est que Microsoft ne prend en charge que la méthode EAP-MSCHAPv2 et non la méthode EAP-SIM.
Cependant, Microsoft prend en charge une autre forme de PEAPv0 (que Microsoft appelle PEAP-EAP-TLS) que de nombreux logiciels Cisco et autres serveurs et clients tiers ne prennent pas en charge. PEAP-EAP-TLS nécessite l’installation par le client d’un certificat numérique côté client ou d’une carte à puce plus sécurisée. PEAP-EAP-TLS fonctionne de manière très similaire à l’EAP-TLS d’origine, mais offre un peu plus de protection car les parties du certificat client non chiffrées dans EAP-TLS sont chiffrées dans PEAP-EAP-TLS. En fin de compte, PEAPv0 / EAP-MSCHAPv2 est de loin l’implémentation la plus répandue de PEAP, en raison de l’intégration de PEAPv0 dans les produits Microsoft Windows. Le client CSSC de Cisco prend maintenant en charge PEAP-EAP-TLS.
PEAP a connu un tel succès sur le marché que même Funk Software (acquis par Juniper Networks en 2005), l’inventeur et bailleur de fonds des EAP-TTL, a ajouté le support de PEAP dans ses logiciels serveur et client pour les réseaux sans fil.