PEAP è simile nel design a EAP-TTLS, che richiede solo un certificato PKI lato server per creare un tunnel TLS sicuro per proteggere l’autenticazione dell’utente e utilizza certificati di chiave pubblica lato server per autenticare il server. Quindi crea un tunnel TLS crittografato tra il client e il server di autenticazione. Nella maggior parte delle configurazioni, le chiavi per questa crittografia vengono trasportate utilizzando la chiave pubblica del server. Il conseguente scambio di informazioni di autenticazione all’interno del tunnel per autenticare il client viene quindi crittografato e le credenziali dell’utente sono al sicuro dalle intercettazioni.
A partire da maggio 2005, c’erano due sottotipi PEAP certificati per lo standard WPA e WPA2 aggiornati. Lo sono:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1 / EAP-GTC
PEAPv0 e PEAPv1 si riferiscono entrambi al metodo di autenticazione esterno e sono i meccanismi che creano il tunnel TLS sicuro per proteggere le transazioni di autenticazione successive. EAP-MSCHAPv2 e EAP-GTC si riferiscono ai metodi di autenticazione interna che forniscono l’autenticazione dell’utente o del dispositivo. Un terzo metodo di autenticazione comunemente usato con PEAP è EAP-SIM.
All’interno dei prodotti Cisco, PEAPv0 supporta i metodi EAP interni EAP-MSCHAPv2 e EAP-SIM mentre PEAPv1 supporta i metodi EAP interni EAP-GTC e EAP-SIM. Poiché Microsoft supporta solo PEAPv0 e non supporta PEAPv1, Microsoft lo chiama semplicemente “PEAP” senza il designatore v0 o v1. Un’altra differenza tra Microsoft e Cisco è che Microsoft supporta solo il metodo EAP-MSCHAPv2 e non il metodo EAP-SIM.
Tuttavia, Microsoft supporta un’altra forma di PEAPv0 (che Microsoft chiama PEAP-EAP-TLS) che molti Cisco e altri software client e server di terze parti non supportano. PEAP-EAP-TLS richiede l’installazione client di un certificato digitale lato client o di una smartcard più sicura. PEAP-EAP-TLS è molto simile nel funzionamento all’EAP-TLS originale, ma fornisce una protezione leggermente maggiore perché parti del certificato client non crittografate in EAP-TLS sono crittografate in PEAP-EAP-TLS. In definitiva, PEAPv0 / EAP-MSCHAPv2 è di gran lunga l’implementazione più diffusa di PEAP, grazie all’integrazione di PEAPv0 nei prodotti Microsoft Windows. Il client CSSC di Cisco ora supporta PEAP-EAP-TLS.
PEAP ha avuto un tale successo sul mercato che anche Funk Software (acquisita da Juniper Networks nel 2005), l’inventore e sostenitore di EAP-TTLS, ha aggiunto il supporto per PEAP nel loro software server e client per reti wireless.