Instalacija eduroam certifikata na Android 4.0

S razvojem pametnih telefona sistemski inženjeri na ustanovama dobili su još jedan segment koji moraju pratiti zbog mogućih problema svojih korisnika, čak i iako ih sami ne koriste. Sve više korisnika koji imaju Linux bazirani Android OS za pametne telefone i tablete pokušava se spojiti na bežičnu mrežu ustanove preko eduroam usluge i svog AAI identiteta.

Usluga installer.eduroam.hr nudi podršku korisnicima različitih operativnih sustava. Logiranjem u sustav installer.eduroam.hr svaki krajnji korisnik može odabrati svoj tip OS-a i preuzeti odgovarajući instalacijski paket sa pripadajućim certifikatom uz kratku  uputu. Time se izbjegava ručno podešavanje parametara koje je uglavnom "padalo na leđa" sistemaca. Ovako to izgleda za krajnjeg korisnika na primjeru Android-a.

Međutim kako se mijenjaju verzije Androida tako mijenja i instalacija, kao što pokazuje slijedeći primjer. Korisnik s modelom na koji je instaliran Android 4.0 pri pokušaju da instalira certifikat, nakon odabira imena pod kojim će ga instalirati, dobiva kao slijedeći korak unos PIN-a za otključavanje zaslona. Ako se odbije unos PIN-a instalacija certifikata ne obavi se do kraja.

Nakon unosa PIN-a i dovršetka instalacije telefon se uspješno spaja na eduroam. No nakon svakog gašenja zaslona sada treba ponovo ukucati PIN!

Koliko se sjećam na prethodnim verzijama Andrioda nije trebalo unositi PIN. Postavlja se pitanje: zbog čega je sada potreban PIN za zaključavanje ekrana pri instalaciji certifikata? Korisnicima je to "tlaka" i traže od nas da ga uklonimo. No pri pokušaju uklanjanja PIN-a dolazi do slijedeće situacije: sve su opcije za zaključavanje zaslona osim Pattern, PIN, Password "posivljene" i ne mogu se aktivirati. Opcija NONE također (u hrvatskom prijevodu "Ništa -zaključano od administratora uređaja")

Pomoć tražimo od eduroam helpdeska i od njih saznajemo da imaju "nepotvrđenu informaciju" o ovakvom ponašanju uređaja. Nakon prepiske i razmjene informacija o uređaju helpdesk zaključuje da Android 4.0 automatski štiti certifikat jednim od 3 načina zaštite, dok sve ostale opcije deaktivira. Umjesto da svaki put traži lozinku za pristup certifikatu OS se štiti zaključavanjem zaslona na jedan od 3 ponuđena načina zašite. Zaključavanje zaslona je praktički zaključavanje uređaja .Zaštita PIN-om se nudi kao zadana jer vjerovatno po mišljenju proizvođača zadovoljava srednju razinu sigurnosti. Nakon postavljenog PIN-a korisnik može eventualno odabrati "lakši" ili "teži" put otključavanja zaslona."Lakši" put  otključavanja je opcija "Pattern", pri čemu korisnik bira željeni "znak" pomicanjem prsta po zaslonu koji će uključiti kombinaciju najmanje 4 točke, kao što se vidi na slijedećoj slici.

"Teži" način je odabir lozinke od barem 8 znakova, s pomiješanim slovima i brojkama.

Jedini način da korisnik dobije ponovno slobodan pristup zaslonu(uređaju) jest uklanjanje instaliranog certifikata. Spajanje bez poslužiteljskog certifikata je naravno potencijalno nesigurno i ne preporuča se zbog mogućeg MITM (man-in-the-middle) napada. Korisnik tada mora sam ručno podesiti parametre spajanja. Eduroam tim ne ohrabruje ovakav način spajanja, jer se time smanjuje razina sigurnosti sustava.

Ovaj primjer ilustrira evoluciju pametnih telefona i dodavanje sigurnosnih funkcija koje obične korisnike samo zbunjuju. Krajnji korisnici ne žele mijenjati svoje navike i žele zaobilaziti sigurnosna rješenja koja bi s vremenom trebala postati standard. Uloga je sistemca i u tome da ih obrazuje i uvjeri da treba prihvaćati novosti koje doprinose sigurnijem korištenju uređaja i mreže.