Protected Extensible Authentication Protocol
PEAP ist ähnlich aufgebaut wie EAP-TTLS und benötigt nur ein serverseitiges PKI-Zertifikat, um einen sicheren TLS-Tunnel zum Schutz der Benutzerauthentifizierung zu erstellen, und verwendet serverseitige Public-Key-Zertifikate zur Authentifizierung des Servers. Anschließend wird ein verschlüsselter TLS-Tunnel zwischen dem Client und dem Authentifizierungsserver aufgebaut. In den meisten Konfigurationen werden die Schlüssel für diese Verschlüsselung mit dem öffentlichen Schlüssel des Servers übertragen. Der anschließende Austausch von Authentifizierungsinformationen innerhalb des Tunnels zur Authentifizierung des Clients ist dann verschlüsselt und die Benutzerdaten sind vor Abhören geschützt.
Ab Mai 2005 sind zwei PEAP-Subtypen für den aktualisierten WPA- und WPA2-Standard zertifiziert. Sie sind:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
PEAPv0 und PEAPv1 beziehen sich beide auf die äußere Authentifizierungsmethode und sind die Mechanismen, die den sicheren TLS-Tunnel zum Schutz nachfolgender Authentifizierungstransaktionen erstellen. EAP-MSCHAPv2 und EAP-GTC beziehen sich auf die inneren Authentifizierungsmethoden, die eine Benutzer- oder Geräteauthentifizierung ermöglichen. Eine dritte Authentifizierungsmethode, die häufig mit PEAP verwendet wird, ist EAP-SIM.
In den Cisco-Produkten unterstützt PEAPv0 die inneren EAP-Methoden EAP-MSCHAPv2 und EAP-SIM, während PEAPv1 die inneren EAP-Methoden EAP-GTC und EAP-SIM unterstützt. Da Microsoft nur PEAPv0 und nicht PEAPv1 unterstützt, nennt Microsoft es einfach „PEAP“ ohne die Kennung v0 oder v1. Ein weiterer Unterschied zwischen Microsoft und Cisco besteht darin, dass Microsoft nur die EAP-MSCHAPv2-Methode und nicht die EAP-SIM-Methode unterstützt.
Microsoft unterstützt jedoch eine andere Form von PEAPv0 (die Microsoft PEAP-EAP-TLS nennt), die von vielen Servern und Clients von Cisco und anderen Anbietern nicht unterstützt wird. PEAP-EAP-TLS erfordert die Client-Installation eines clientseitigen digitalen Zertifikats oder einer sichereren Smartcard. PEAP-EAP-TLS ist dem ursprünglichen EAP-TLS sehr ähnlich, bietet aber etwas mehr Schutz, da Teile des Client-Zertifikats, die bei EAP-TLS unverschlüsselt sind, bei PEAP-EAP-TLS verschlüsselt werden. Letztendlich ist PEAPv0/EAP-MSCHAPv2 die bei weitem am weitesten verbreitete Implementierung von PEAP, was auf die Integration von PEAPv0 in Microsoft Windows-Produkte zurückzuführen ist. Der CSSC-Client von Cisco unterstützt jetzt PEAP-EAP-TLS.
PEAP ist auf dem Markt so erfolgreich, dass sogar Funk Software (2005 von Juniper Networks übernommen), der Erfinder und Befürworter von EAP-TTLS, PEAP in seine Server- und Client-Software für drahtlose Netzwerke aufgenommen hat.