Protected Extensible Authentication Protocol
PEAP jest podobny w konstrukcji do EAP-TTLS, wymaga jedynie certyfikatu PKI po stronie serwera do utworzenia bezpiecznego tunelu TLS w celu ochrony uwierzytelniania użytkownika i wykorzystuje certyfikaty klucza publicznego po stronie serwera do uwierzytelniania serwera. Następnie tworzy zaszyfrowany tunel TLS pomiędzy klientem a serwerem uwierzytelniającym. W większości konfiguracji, klucze do tego szyfrowania są przesyłane przy użyciu klucza publicznego serwera. Wymiana informacji uwierzytelniających wewnątrz tunelu w celu uwierzytelnienia klienta jest zaszyfrowana, a dane uwierzytelniające użytkownika są zabezpieczone przed podsłuchem.
Od maja 2005 r. istnieją dwa podtypy protokołu PEAP certyfikowane dla zaktualizowanego standardu WPA i WPA2. Są to:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
PEAPv0 i PEAPv1 odnoszą się do zewnętrznej metody uwierzytelniania i są mechanizmami, które tworzą bezpieczny tunel TLS w celu ochrony kolejnych transakcji uwierzytelniania. EAP-MSCHAPv2 i EAP-GTC odnoszą się do wewnętrznych metod uwierzytelniania, które zapewniają uwierzytelnienie użytkownika lub urządzenia. Trzecią metodą uwierzytelniania powszechnie używaną z PEAP jest EAP-SIM.
W produktach Cisco, PEAPv0 obsługuje wewnętrzne metody EAP EAP-MSCHAPv2 i EAP-SIM, natomiast PEAPv1 obsługuje wewnętrzne metody EAP EAP-GTC i EAP-SIM. Ponieważ Microsoft obsługuje tylko PEAPv0 i nie obsługuje PEAPv1, Microsoft nazywa go po prostu „PEAP” bez oznaczenia v0 lub v1. Inna różnica między Microsoftem a Cisco polega na tym, że Microsoft obsługuje tylko metodę EAP-MSCHAPv2, a nie metodę EAP-SIM.
Jednakże Microsoft obsługuje inną formę PEAPv0 (którą Microsoft nazywa PEAP-EAP-TLS), której nie obsługuje wiele serwerów i oprogramowania klienckiego Cisco i innych firm trzecich. PEAP-EAP-TLS wymaga instalacji po stronie klienta certyfikatu cyfrowego lub bezpieczniejszej karty inteligentnej. PEAP-EAP-TLS jest bardzo podobny w działaniu do oryginalnego EAP-TLS, ale zapewnia nieco większą ochronę, ponieważ części certyfikatu klienta, które są niezaszyfrowane w EAP-TLS, są szyfrowane w PEAP-EAP-TLS. Ostatecznie, PEAPv0/EAP-MSCHAPv2 jest zdecydowanie najbardziej rozpowszechnioną implementacją PEAP, ze względu na integrację PEAPv0 w produktach Microsoft Windows. Klient CSSC firmy Cisco obsługuje obecnie PEAP-EAP-TLS.
PEAP odniósł taki sukces na rynku, że nawet Funk Software (przejęty przez Juniper Networks w 2005 r.), wynalazca i zwolennik EAP-TTLS, dodał wsparcie dla PEAP w swoim oprogramowaniu serwera i klienta dla sieci bezprzewodowych.