PEAP est de conception similaire à EAP-TTLS, ne nécessitant qu’un certificat PKI côté serveur pour créer un tunnel TLS sécurisé afin de protéger l’authentification de l’utilisateur, et utilise des certificats de clé publique côté serveur pour authentifier le serveur. Il crée ensuite un tunnel TLS crypté entre le client et le serveur d’authentification. Dans la plupart des configurations, les clés de ce chiffrement sont transportées à l’aide de la clé publique du serveur. L’échange d’informations d’authentification qui s’ensuit à l’intérieur du tunnel pour authentifier le client est alors chiffré et les informations d’identification de l’utilisateur sont à l’abri des écoutes.

En mai 2005, il y avait deux sous-types PEAP certifiés pour la norme WPA et WPA2 mise à jour. Ce sont :

• PEAPv0/EAP-MSCHAPv2
• PEAPv1/EAP-GTC

PEAPv0 et PEAPv1 font tous deux référence à la méthode d’authentification extérieure et sont les mécanismes qui créent le tunnel TLS sécurisé pour protéger les transactions d’authentification ultérieures. EAP-MSCHAPv2 et EAP-GTC font référence aux méthodes d’authentification internes qui fournissent une authentification de l’utilisateur ou du dispositif. Une troisième méthode d’authentification couramment utilisée avec PEAP est EAP-SIM.

Dans les produits Cisco, PEAPv0 prend en charge les méthodes EAP internes EAP-MSCHAPv2 et EAP-SIM tandis que PEAPv1 prend en charge les méthodes EAP internes EAP-GTC et EAP-SIM. Comme Microsoft ne prend en charge que le PEAPv0 et non le PEAPv1, Microsoft l’appelle simplement « PEAP » sans l’indicatif v0 ou v1. Une autre différence entre Microsoft et Cisco est que Microsoft ne prend en charge que la méthode EAP-MSCHAPv2 et non la méthode EAP-SIM.

Cependant, Microsoft prend en charge une autre forme de PEAPv0 (que Microsoft appelle PEAP-EAP-TLS) que de nombreux logiciels serveurs et clients de Cisco et d’autres tiers ne prennent pas en charge. PEAP-EAP-TLS nécessite l’installation par le client d’un certificat numérique côté client ou d’une carte à puce plus sécurisée. Le fonctionnement de PEAP-EAP-TLS est très similaire à celui de l’EAP-TLS original, mais il offre une protection légèrement supérieure car les parties du certificat du client qui ne sont pas chiffrées dans EAP-TLS le sont dans PEAP-EAP-TLS. En fin de compte, PEAPv0/EAP-MSCHAPv2 est de loin la mise en œuvre la plus répandue de PEAP, en raison de l’intégration de PEAPv0 dans les produits Microsoft Windows. Le client CSSC de Cisco prend maintenant en charge le PEAP-EAP-TLS.

Le PEAP a connu un tel succès sur le marché que même Funk Software (acquis par Juniper Networks en 2005), l’inventeur et le bailleur de fonds de l’EAP-TTLS, a ajouté la prise en charge du PEAP dans son logiciel serveur et client pour les réseaux sans fil.