O mecanismo de autenticação do 802.1X pressupõe que você já se conectou inicialmente à rede confiável? O que me intriga é que se eu configurasse um ponto de acesso clonado para enganar os usuários e fazê-los se conectar através de mim, se eles se conectassem a mim antes de se conectarem à rede adequada, como eles perceberiam que eu não era a rede adequada? Meu ponto de acesso dodgey pode usar 802.1X e posso fornecer a eles minhas mensagens de autenticação e eles podem usar minha chave pública para descriptografar? Isso não diz que eles estão na rede errada?
Presumo que o 802.1X só seja bom para prevenir esse tipo de ataque se você já tiver a chave pública da rede confiável em sua máquina. Mas agora estou confuso novamente: como meu computador sabe qual chave pública usar quando me conecto a uma rede? Não é possível armazenar as chaves públicas de acordo com os SSIDs, porque os SSIDs não são únicos?
Responder1
[Como] meu computador sabe qual chave pública usar quando me conecto a uma rede? Ele não pode armazenar as chaves públicas de acordo com os SSIDs, porque os SSIDs não são exclusivos?
O cliente possui um conjunto de credenciais que é usado em várias redes. Cada credencial está associada a uma chave pública, pertencente à rede correspondente. A autenticação procede da seguinte forma:
1) O cliente se conecta à rede.
2) A rede autentica o cliente usando a chave privada que corresponde à sua chave pública.
3) O cliente agora sabe que a rede possui uma chave pública específica. O cliente verifica se possui uma identidade que corresponda a essa chave pública.
4) O cliente prova sua identidade ao servidor com a identidade do cliente associada à chave pública da rede.
O cliente não precisa saber antecipadamente a qual rede está se conectando.