Protected Extensible Authentication Protocol
PEAP is qua ontwerp vergelijkbaar met EAP-TTLS en vereist alleen een PKI-certificaat aan de serverzijde om een beveiligde TLS-tunnel te creëren ter bescherming van de gebruikersauthenticatie, en gebruikt publieke-sleutelcertificaten aan de serverzijde om de server te authenticeren. Het creëert dan een versleutelde TLS-tunnel tussen de cliënt en de authenticatieserver. In de meeste configuraties worden de sleutels voor deze versleuteling getransporteerd met de publieke sleutel van de server. De daaropvolgende uitwisseling van authenticatie-informatie binnen de tunnel om de client te authenticeren is dan versleuteld en de gebruikersgegevens zijn veilig tegen afluisteren.
Met ingang van mei 2005 zijn er twee PEAP-subtypen gecertificeerd voor de bijgewerkte WPA- en WPA2-standaard. Deze zijn:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
PEAPv0 en PEAPv1 hebben beide betrekking op de buitenste authenticatiemethode en zijn de mechanismen die de veilige TLS-tunnel creëren om de daaropvolgende authenticatietransacties te beschermen. EAP-MSCHAPv2 en EAP-GTC verwijzen naar de binnenste authenticatiemethoden die gebruikers- of apparaatauthenticatie leveren. Een derde authenticatiemethode die vaak met PEAP wordt gebruikt is EAP-SIM.
In Cisco-producten ondersteunt PEAPv0 de binnenste EAP-methoden EAP-MSCHAPv2 en EAP-SIM, terwijl PEAPv1 de binnenste EAP-methoden EAP-GTC en EAP-SIM ondersteunt. Aangezien Microsoft alleen PEAPv0 ondersteunt en geen PEAPv1, noemt Microsoft het gewoon “PEAP” zonder de v0 of v1 aanduiding. Een ander verschil tussen Microsoft en Cisco is dat Microsoft alleen de EAP-MSCHAPv2 methode ondersteunt en niet de EAP-SIM methode.
Microsoft ondersteunt echter een andere vorm van PEAPv0 (die Microsoft PEAP-EAP-TLS noemt) die veel Cisco en andere third-party server en client software niet ondersteunen. PEAP-EAP-TLS vereist de installatie van een digitaal certificaat aan de clientzijde of een veiligere smartcard. PEAP-EAP-TLS lijkt qua werking sterk op het oorspronkelijke EAP-TLS, maar biedt iets meer bescherming omdat delen van het cliëntcertificaat die in EAP-TLS onversleuteld zijn, in PEAP-EAP-TLS wel versleuteld zijn. Uiteindelijk is PEAPv0/EAP-MSCHAPv2 verreweg de meest voorkomende implementatie van PEAP, vanwege de integratie van PEAPv0 in Microsoft Windows-producten. Cisco’s CSSC client ondersteunt nu PEAP-EAP-TLS.
PEAP is zo succesvol op de markt dat zelfs Funk Software (in 2005 overgenomen door Juniper Networks), de uitvinder en ondersteuner van EAP-TTLS, ondersteuning voor PEAP heeft toegevoegd in hun server en client software voor draadloze netwerken.