Protected Extensible Authentication Protocol
PEAP は EAP-TTLS と同様の設計で、ユーザー認証を保護するために安全な TLS トンネルを作成するサーバー側の PKI 証明書のみを必要とし、サーバー側公開鍵証明書を使用してサーバーを認証します。 その後、クライアントと認証サーバーの間に暗号化されたTLSトンネルを作成する。 ほとんどの構成では、この暗号化のための鍵は、サーバーの公開鍵を使用して転送されます。
2005年5月現在、最新のWPAおよびWPA2標準に認定されたPEAPサブタイプが2種類あります。 それらは、
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
PEAPv0 および PEAPv1 は、どちらも外側の認証方法を参照し、その後の認証処理を保護する安全な TLSトンネルを作成するメカニズムであり、PEAP0 は外側の認証方法を参照し、PEAPv2 は PEAPv2 を参照します。 EAP-MSCHAPv2およびEAP-GTCは、ユーザーまたはデバイスの認証を提供する内部認証方式を指します。 PEAPでよく使用される第3の認証方式はEAP-SIMです。
Cisco製品では、PEAPv0は内部EAP方式のEAP-MSCHAPv2およびEAP-SIMをサポートし、PEAPv1は内部EAP方式のEAP-GTCとEAP-SIMをサポートしています。 マイクロソフトはPEAPv0のみをサポートし、PEAPv1をサポートしていないため、マイクロソフトはv0またはv1の指定子を付けずに単に「PEAP」と呼んでいます。
しかし、マイクロソフトはPEAPv0の別の形式(マイクロソフトはPEAP-EAP-TLSと呼ぶ)をサポートしており、多くのCiscoや他のサードパーティのサーバーやクライアントソフトウェアはサポートしていません。 PEAP-EAP-TLSは、クライアント側のデジタル証明書またはより安全なスマートカードのインストールを必要とします。 PEAP-EAP-TLSは、オリジナルのEAP-TLSと非常によく似た動作をしますが、EAP-TLSでは暗号化されていないクライアント証明書の部分がPEAP-EAP-TLSでは暗号化されているため、若干保護が強化されたものになっています。 最終的には、PEAPv0/EAP-MSCHAPv2がマイクロソフトWindows製品に統合されたため、PEAPの最も一般的な実装となっています。 Cisco の CSSC クライアントは現在 PEAP-EAP-TLS をサポートしています。
PEAP は市場で非常に成功しており、EAP-TTLS を発明し支援した Funk Software (2005 年に Juniper Networks が買収) も無線ネットワーク用のサーバーとクライアントソフトに PEAP を追加しています。