Die Frage sagt eigentlich alles. Ist es möglich, über ein gängiges Protokoll eine sichere Verbindung von einem WiFi-Server zu einem WiFi-Client herzustellen, ohne dass Server und Client ein Geheimnis teilen müssen?
Wenn ja, wie kann das funktionieren?? :-)
Antwort1
Die Frage ist nicht so dumm, wie sie auf den ersten Blick erscheinen mag:
- Ein Zugriffspunkt ist so konfiguriert, dass die Authentifizierung gegenüber einem RADIUS-Server zurückgestellt wird.
- Der RADIUS-Server verfügt über eine eigene Zertifizierungsstelle, die Zertifikate an Clients ausgibt. Einmal ausgestellte Zertifikate können widerrufen werden.
- Wenn ein Client eine Verbindung herstellt, legt er sein Zertifikat über den Zugriffspunkt dem RADIUS-Server vor, der entscheidet, ob die Authentifizierung erfolgreich sein soll. Das Zertifikat muss vom Server signiert sein und darf nicht auf seiner Zertifikatsperrliste stehen.
- Bei erfolgreicher Authentifizierung des Clients sendet der RADIUS-Server einen Verschlüsselungsschlüssel an den Zugriffspunkt zurück, mit dem die Verbindung verschlüsselt wird.
Diese Konfiguration (alphanumerische Suppe: EAP-TLS über WPA2/802.1x) bedeutet, dass der Client kein einfaches Geheimnis mit dem Server teilt.