Eduroam on Linux: how to connect to Eduroam and update crypto policy on Ubuntu

dag7+ifyourenotallmpleaseremovethis@protonmail.com (Dag) — Fri, 20 Feb 2026 17:56:00 +0100

September 2019. First day at University, I was a freshman.

After attending the first hour lesson (it was either algorithm or digital system), I’ve started to play my favorite game: discovering Wi-Fi networks around me “just for fun”.

It’s been my favorite hobby since around 2008, when I used to play with old Nintendo/Sony consoles. At the time, Wi-Fi wasn’t spread anywhere like now: many access points were (still) secured by WEP, some by WPA and others were… unprotected!

Going back to our story: other than discovering the so-called “meme networks” like “Marco is beautiful, let’s meet outside”, “Not a Wifi Connection”, “Crack me”, or even “5G Antenna”, for a certain time it used to remember me when AirTag became popular to exchange prank messages,

In particular, two networks came to my attention:

<local university network> - free wifi
eduroam - secured

From the official Eduroam website , this project aims to connect other universities around the world in order to create an ubiquitous internet access, provided that you are successfully signed to your University. There’s also an official link to see where Eduroam is available, with supported countries and locations

“Cool” - I thought - “I just need to connect to that Wifi Network, it asks for my identity but it doesn’t work”.

A quick research led to cat.eduroam.org the configuration assistant tool, required to connect to RADIUS server. It says “available for Windows, Linux and MacOS”. There also is an Android app call geteduroam.

On Windows the tool is decent, on Android too. Cannot say for MacOS because I don’t own a Mac.

What about Linux? Well, it turns out that CAT works as well on Linux but… it won’t. Why? That’s why we’re here, let’s break down the entire process.

When we open the python script, we’re greeted by a classic “username, password, repeat password”. We should hit save and be able to connect to Wi-Fi after input our university password.

Troubleshooting

The first thing I run is dmesg. Here’s the output:

feb 20 15:45:40 d wpa_supplicant[995]: wlan0: Associated with xx:xx:xx:xx:xx:xx
feb 20 15:45:40 d wpa_supplicant[995]: wlan0: CTRL-EVENT-EAP-STARTED EAP authentication started
feb 20 15:45:40 d wpa_supplicant[995]: wlan0: CTRL-EVENT-SUBNET-STATUS-UPDATE status=0
feb 20 15:45:40 d wpa_supplicant[995]: wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=21
feb 20 15:45:40 d wpa_supplicant[995]: wlan0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 21 (TTLS) selected
feb 20 15:45:40 d wpa_supplicant[995]: SSL: SSL3 alert: write (local SSL3 detected an error):fatal:protocol version
feb 20 15:45:40 d wpa_supplicant[995]: OpenSSL: openssl_handshake - SSL_connect error:0A000102:SSL routines::unsupported protocol
feb 20 15:45:40 d wpa_supplicant[995]: wlan0: CTRL-EVENT-EAP-FAILURE EAP authentication failed
feb 20 15:45:40 d wpa_supplicant[995]: wlan0: CTRL-EVENT-DISCONNECTED bssid=xx:xx:xx:xx:xx:xx reason=23
feb 20 15:45:40 d wpa_supplicant[995]: wlan0: CTRL-EVENT-SSID-TEMP-DISABLED id=0 ssid="eduroam" auth_failures=2 duration=38 reason=AUTH_FAILED
feb 20 15:45:40 d wpa_supplicant[995]: BSSID xx:xx:xx:xx:xx:xx ignore list count incremented to 2, ignoring for 10 seconds

The relevant lines are

feb 20 15:45:40 d wpa_supplicant[995]: wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=21
feb 20 15:45:40 d wpa_supplicant[995]: OpenSSL: openssl_handshake - SSL_connect error:0A000102:SSL routines::unsupported protocol

The newer versions of Ubuntu (and Debian), uses newer version of TLS by default… TLS v1.0 is deprecated, so we are forced to use the latest TLS version.

Initial solution: update-crypto-policy

On Fedora there is a command called update-crypto-policy that allows to use TLSv1.0 by simply launching a command.

However, this is not available on Debian and Ubuntu. There is an old package in 2019, but even if you install it and try to setup this policy using that package it won’t work.

Therefore, even if you install the package, it won’t work, we must use another (dirty) trick.

What to do

The BEST thing to do, since TLS1.0 has been deprecated, is to update TLS version of the Access Point.

We have notified the head of the infrastructure of our university to let it be aware of this.

Meanwhile we have tried to figure out a fix.

According to NetworkManager Gitlab we can (temporary) fix this behavior by allowing TLSv1.0 tls-1-0-enable (0x20) set phase-1-auth-flags to 32 which in hex is 20.

Practical steps

Run Eduroam CAT for Linux. This is mandatory in order to generate the right config file.
sudo nano /etc/NetworkManager/system-connections/<your-connection-ssid-here>.nmconnection in our case, eduroam
under [802-1x] preamble, add phase1-auth-flags=32 as the latest line. Save!
restart both NetworkManager and wpa_supplicant
to connect to eduroam from now, run sudo nmcli --ask connection up eduroam . It will ask for your password: enter your password and enter
wait a while and… you’re connected!

NOTE: if you look at your wifi network indicator, something’s really wrong: it looks like you’re connected with each network, and connect / disconnect won’t work

Everytime you need to connect to eduroam, you need to perform the step 5

To disconnect, just connect to another network (using nmcli).

NOTE: Your NetworkManager will be not usable unless you manually disconnect from Eduroam

NOTE for Fedora users: since the command update-crypto-policies is available (on Debian it is not, even if you manually install it from an old version) you also need to launch sudo update-crypto-policies –set DEFAULT:SHA1

Unfortunately right now there’s no alternative than waiting (😴) for TLS update

That’s all folks!

Let’s hope our university will hear us and update TLS. Security is important, especially on “public” usable Wi-Fi.

Special thanks to “X.” for bearing with me for each step. Without it, this article wouldn’t have existed.

If this article has been useful for you, consider to leave a small donation (paypal) or buy me a virtual coffee! Your support is really important, and knowing that, makes me happy.

Reverse Engineering la luce in fondo al tunnel, prima dell'abisso

dag7+ifyourenotallmpleaseremovethis@protonmail.com (Dag) — Mon, 20 Oct 2025 03:48:00 +0200

Caro Dag del 2013,

finalmente sei riuscito a coronare uno dei tuoi sogni nel cassetto: riuscire a saper comprendere o quantomeno leggere un codice assembly per poterci mettere le mani sopra e manipolarlo a tuo piacimento.

Sono le 3 e 45, e finalmente dopo un tour de force durato 3 giorni, posso dire che ho concluso la lettura del manuale ~~di magia nera~~ “Practical Malware Analysis”.

YEEEEEEEEEE 🎉

Tecnicamente ho barato: alcuni hands-on non li ho fatti, mentre alcuni capitoli li ho saltati. Mi giustifico dicendo che a breve termine non mi servono, promettendomi di tornarci in un secondo momento con più calma. I capitoli più avanzati, a differenza dei primi, più semplici, sono quelli più interessanti e che permettono di scovare più malware da un punto di vista pratico.

Ma volevo fare una mini recensione!

Avete presente quando vorreste un bel manuale che vi spieghi per filo e per segno cosa dovete fare? Ecco, questo è perfetto sotto questo punto di vista: spiegazioni chiare e semplici, con una serie di esercizi allegati, con tanto di soluzione commentata passo passo. Non mi sorprende affatto che sia considerato come testo di riferimento: sarà anche molto vecchio e alcuni dei tool al quale fa riferimento sono stati sostituiti da cose più aggiornate, ma le basi a distanza di anni sono rimaste quelle.

Tra i contro invece mettiamo l’essere scritto in bianco e nero (a volte le cose con riquadri e colori si capiscono di più), ma soprattutto il fatto di essere rimasto fermo a Windows XP. Da un lato il fatto che il libro risulti ancora attuale è molto bello. Dall’altro però, alcuni esempi non funzionano. Ho speso circa 3 ore una sera per poi sorprendermi che non c’era soluzione all’esercizio che stavo facendo, se non usare una vecchia VM con Windows XP.

Dunque ho scelto di leggere questo manuale per ~~passare un esame universitario~~ ma anche perché questo argomento mi è sempre piaciuto e non ho mai avuto modo di approndirlo.

C’è un ma: fare reverse engineering, soprattutto di malware, richiede una base di conoscenza di Assembly (nel manuale viene spiegato), e di come si programma in generale. Ai tempi non sapevo programmare, figuriamoci fare le operazioni al contrario…

È assolutamente impensabile pensare di seguire un manuale del genere senza saper programmare, o senza fare gli hands-on.

C’è una bella differenza tra il leggere e il fare, e questo Feynman lo sapeva molto bene.

Ad ogni modo, gli esempi sul libro sono molto didattici. Vorrei riuscire a preparare una sorta di videolezioni fatte da me, perché si trovano in giro in inglese ma non in italiano. È vero che viviamo nel 2025, dove le traduzioni automatiche sono all’ordine del giorno, ma mi piacerebbe riuscire comunque a portare questo argomento su un canale YouTube.

Inoltre… ho preso tantissimi appunti usando Obsidian! Proprio non mi capitava di prendere così tanti appunti da un sacco di tempo. È bello arrivare a fine giornata con tante cose apprese e scritte, a mo’ di diario.

Il mondo dei malware e del reverse engineering è un mondo mistico fatto di sigle, di misure antireverse, e di tanto, tanto codice Assembly. Sicuramente fare l’esame è stata una buona motivazione, ma non mi sarei mai concentrato così tanto ad approfondire.

Sono stati tre giorni incredibili dove ho imparato tantissime cose, e non vedo l’ora di metterle in pratica, magari cominciando a fare i crack-me o altre sfide online, sino ad arrivare ai sample degli esami.