PEAP is vergelijkbaar in ontwerp met EAP-TTLS, waarvoor alleen een PKI-certificaat aan de serverzijde nodig is om een beveiligde TLS-tunnel te maken om gebruikersauthenticatie te beschermen, en gebruikt publieke sleutelcertificaten aan de serverzijde om de server te authenticeren. Het maakt vervolgens een versleutelde TLS-tunnel aan tussen de client en de verificatieserver. In de meeste configuraties worden de sleutels voor deze encryptie getransporteerd met behulp van de publieke sleutel van de server. De daaropvolgende uitwisseling van verificatiegegevens in de tunnel om de client te verifiëren wordt vervolgens versleuteld en gebruikersreferenties zijn veilig voor afluisteren.
vanaf mei 2005 waren er twee PEAP-subtypes gecertificeerd voor de bijgewerkte WPA-en WPA2-standaard. Zij zijn:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
PEAPv0 en PEAPv1 verwijzen beide naar de buitenverificatiemethode en zijn de mechanismen die de beveiligde TLS-tunnel creëren om latere verificatietransacties te beschermen. EAP-MSCHAPv2 en EAP-GTC verwijzen naar de interne verificatiemethoden die gebruikers-of apparaatverificatie bieden. Een derde verificatiemethode die vaak wordt gebruikt bij PEAP is EAP-SIM.
binnen Cisco-producten ondersteunt PEAPv0 inner EAP-methoden EAP-MSCHAPv2 en EAP-SIM, terwijl PEAPv1 inner EAP-methoden EAP-GTC en EAP-SIM ondersteunt. Omdat Microsoft alleen PEAPv0 ondersteunt en PEAPv1 niet ondersteunt, noemt Microsoft het gewoon “PEAP” zonder de v0-of v1-aanduiding. Een ander verschil tussen Microsoft en Cisco is dat Microsoft alleen de EAP-mschapv2-methode ondersteunt en niet de EAP-SIM-methode.
echter, Microsoft ondersteunt een andere vorm van PEAPv0 (die Microsoft PEAP-EAP-TLS noemt) die veel Cisco en andere server-en clientsoftware van derden niet ondersteunen. Voor PEAP-EAP-TLS is de installatie van een digitaal certificaat aan de clientzijde of een veiligere smartcard vereist. PEAP-EAP-TLS is zeer vergelijkbaar met de oorspronkelijke EAP-TLS, maar biedt iets meer bescherming omdat delen van het clientcertificaat die niet-versleuteld zijn in EAP-TLS versleuteld zijn in PEAP-EAP-TLS. Uiteindelijk is PEAPv0 / EAP-MSCHAPV2 verreweg de meest voorkomende implementatie van PEAP, als gevolg van de integratie van PEAPv0 in Microsoft Windows-producten. Cisco ‘ s cssc client ondersteunt nu PEAP-EAP-TLS.PEAP is zo succesvol op de markt dat zelfs Funk Software (overgenomen door Juniper Networks in 2005), de uitvinder en backer van EAP-TTLS, ondersteuning voor PEAP heeft toegevoegd in hun server-en client-software voor draadloze netwerken.