PEAP is similar in design to EAP-TTLS, required only a server-side PKI certificate to create a secure TLS tunnel to protect user authentication, and uses server-side public key certificates to autenticate the server. Ele então cria um túnel TLS criptografado entre o cliente e o servidor de autenticação. Na maioria das configurações, as chaves para esta criptografia são transportadas usando a chave pública do servidor. A subsequente troca de informações de autenticação dentro do túnel para autenticar o cliente é então criptografada e as credenciais do usuário estão a salvo de escutas.
A Partir De Maio de 2005, havia dois sub-tipos PEAP certificados para o padrão WPA e WPA2 atualizado. São:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1 / EAP-GTC
PEAPv0 e PEAPv1 referem-se ambos ao método de autenticação externa e são os mecanismos que criam o túnel TLS seguro para proteger as operações de autenticação subsequentes. EAP – MSCHAPv2 e EAP-GTC referem-se aos métodos de autenticação interna que fornecem autenticação ao utilizador ou ao dispositivo. Um terceiro método de autenticação comumente usado com PEAP é EAP-SIM.
dentro dos produtos da Cisco, PEAPv0 suporta métodos internos EAP – MSCHAPv2 e EAP-SIM, enquanto PEAPv1 suporta métodos internos EAP-GTC e EAP-SIM. Uma vez que a Microsoft só suporta PEAPv0 e não suporta PEAPv1, a Microsoft simplesmente o chama de “PEAP” sem o designador v0 ou v1. Outra diferença entre a Microsoft e a Cisco é que a Microsoft só suporta o método EAP-MSCHAPv2 e não o método EAP-SIM.
no entanto, a Microsoft suporta outra forma de PEAPv0 (que a Microsoft chama PEAP-EAP-TLS) que muitas Cisco e outros servidores de terceiros e software cliente não suportam. PEAP-EAP-TLS requer a instalação do cliente de um certificado digital do lado do cliente ou um smartcard mais seguro. PEAP-EAP-TLS é muito semelhante em operação ao EAP-TLS original, mas fornece um pouco mais de proteção porque partes do certificado de cliente que não são criptografadas em EAP-TLS são criptografadas em PEAP-EAP-TLS. Em última análise, PEAPv0 / EAP-MSCHAPv2 é de longe a implementação mais prevalente do PEAP, devido à integração do PEAPv0 nos Produtos Microsoft Windows. O cliente de CSSC da Cisco agora suporta PEAP-EAP-TLS.
PEAP tem sido tão bem sucedido no mercado que até mesmo o Funk Software (adquirido pela Juniper Networks em 2005), o inventor e apoiador da EAP-TTLS, adicionou suporte para PEAP em seu servidor e software cliente para redes sem fio.