Protected Extensible Authentication Protocol
PEAP tiene un diseño similar a EAP-TTLS, ya que sólo requiere un certificado PKI del lado del servidor para crear un túnel TLS seguro que proteja la autenticación del usuario, y utiliza certificados de clave pública del lado del servidor para autenticar al servidor. A continuación, crea un túnel TLS cifrado entre el cliente y el servidor de autenticación. En la mayoría de las configuraciones, las claves para este cifrado se transportan utilizando la clave pública del servidor. El intercambio subsiguiente de información de autenticación dentro del túnel para autenticar al cliente está entonces encriptado y las credenciales del usuario están a salvo de las escuchas.
En mayo de 2005, había dos subtipos de PEAP certificados para el estándar WPA y WPA2 actualizado. Son los siguientes:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
PEAPv0 y PEAPv1 se refieren al método de autenticación externa y son los mecanismos que crean el túnel TLS seguro para proteger las posteriores transacciones de autenticación. EAP-MSCHAPv2 y EAP-GTC se refieren a los métodos de autenticación interna que proporcionan la autenticación del usuario o del dispositivo. Un tercer método de autenticación comúnmente utilizado con PEAP es EAP-SIM.
En los productos Cisco, PEAPv0 soporta los métodos EAP internos EAP-MSCHAPv2 y EAP-SIM mientras que PEAPv1 soporta los métodos EAP internos EAP-GTC y EAP-SIM. Como Microsoft sólo admite PEAPv0 y no admite PEAPv1, Microsoft simplemente lo llama «PEAP» sin el designador v0 o v1. Otra diferencia entre Microsoft y Cisco es que Microsoft sólo admite el método EAP-MSCHAPv2 y no el método EAP-SIM.
Sin embargo, Microsoft admite otra forma de PEAPv0 (que Microsoft denomina PEAP-EAP-TLS) que muchos servidores y software cliente de Cisco y de otros fabricantes no admiten. PEAP-EAP-TLS requiere que el cliente instale un certificado digital del lado del cliente o una tarjeta inteligente más segura. El funcionamiento de PEAP-EAP-TLS es muy similar al de EAP-TLS original, pero ofrece un poco más de protección porque las partes del certificado del cliente que no están cifradas en EAP-TLS están cifradas en PEAP-EAP-TLS. En última instancia, PEAPv0/EAP-MSCHAPv2 es, con mucho, la implementación más extendida de PEAP, debido a la integración de PEAPv0 en los productos de Microsoft Windows. El cliente CSSC de Cisco soporta ahora PEAP-EAP-TLS.
PEAP ha tenido tanto éxito en el mercado que incluso Funk Software (adquirida por Juniper Networks en 2005), el inventor y promotor de EAP-TTLS, añadió soporte para PEAP en su software de servidor y cliente para redes inalámbricas.