Procedura di accoppiamento rapido
Procedura
Anziché richiamare immediatamente una qualsiasi delle normali procedure di collegamento BR/EDR o BLE, il richiedente attiva prima le notifiche sulla caratteristica di accoppiamento basato su chiavi, quindi vi scrive i dati della Tabella 1.1.
Durante la gestione di una richiesta di scrittura da parte di un utente che cerca l'accoppiamento rapido, il provider dell'accoppiamento rapido deve:
- Se il campo facoltativo Chiave pubblica è presente:
- Se il dispositivo non è in modalità di associazione, ignora la scrittura e esci.
- In caso contrario:
- Utilizza la chiave pubblica ricevuta (un punto di 64 byte sulla curva ellittica secp256r1), la chiave privata anti-spoofing preinstallata, anch'essa secp256r1, e l'algoritmo Diffie-Hellman a curva ellittica per generare una chiave AES a 256 bit.
- Utilizza SHA-256 per eseguire l'hashing della chiave AES a 256 bit.
- Prendi i primi 128 bit del risultato. Questa è la chiave AES anti-spoofing, utilizzata nel passaggio successivo.
Utilizzando AES-128, prova a decriptare il valore. Poiché il valore è un singolo blocco AES a 16 byte, non è necessaria alcuna modalità di crittografia IV o multi-blocco.
- Quale chiave usare:
- Se nel passaggio 1 è stata generata una chiave AES anti-spoofing, utilizza questa chiave.
- In caso contrario, prova con ciascuna chiave nell'elenco permanente delle chiavi dell'account.
- Se una chiave decripta il valore, si interrompe e continua con il passaggio successivo.
Il valore viene decriptato correttamente se l'output corrisponde al formato indicato nella Tabella 1.2.1 o nella Tabella 1.2.2, ovvero se contiene l'indirizzo BLE corrente del provider di accoppiamento rapido o l'indirizzo pubblico del provider di accoppiamento rapido.
NOTA: alla fine della confezione c'è attaccato un sale. Ove possibile, questi sali devono essere monitorati e, se il provider riceve una richiesta contenente un sale già utilizzato, la richiesta deve essere ignorata per evitare attacchi di ripetizione.
In alternativa al monitoraggio dei sali, se la scrittura include l'indirizzo privato del provider, un altro modo per prevenire gli attacchi di ripetizione è anticipare la data e l'ora della successiva rotazione dell'indirizzo privato risolvibile, in modo che la rotazione avvenga prima che venga accettata la successiva scrittura di accoppiamento basato su chiavi.
- Quale chiave usare:
Se nessuna chiave è in grado di decriptare il valore, ignora la scrittura e l'uscita.
- Tieni traccia di questi errori. Quando il numero di errori raggiunge 10, non soddisfare immediatamente tutte le nuove richieste. Ripristina il conteggio degli errori dopo 5 minuti, dopo l'accensione o l'esito positivo.
In caso contrario, salva la chiave riuscita come K. Contrassegna questa K come utilizzabile per decriptare le scritture di passkey e nomi personalizzati ricevute su questo link LE, ma non altre scritture o scritture su altri link. Avvia un timer per eliminare K dopo 10 secondi se l'accoppiamento non è stato avviato. Ignora anche K se questo link LE si disconnette.
Produci la risposta non elaborata da 16 byte mostrata nella Tabella 1.3 concatenando il tipo e l'indirizzo BR/EDR del provider, quindi riempiendo il resto del pacchetto con un blocco di byte casuali (ossia un sale).
Cripta la risposta non elaborata con K per produrre la risposta criptata a 16 byte mostrata nella Tabella 1.4. Invialo tramite una notifica sulla caratteristica Accoppiamento basato su chiave.
Leggi il flag della richiesta:
- Se il byte dei flag della richiesta ha il bit 2 impostato su 1, invia una notifica alla caratteristica dei dati aggiuntivi con un nome personalizzato.
- Se il byte dei flag della richiesta ha il bit 1 impostato su 1:
- Ciò indica che il Cercatore richiede al provider di avviare il collegamento all'indirizzo BR/EDR del richiedente, che è presente nei byte 8-13.
- Invia una richiesta di associazione all'indirizzo BR/EDR del Cercante. La richiesta di accoppiamento deve essere descritta di seguito (passaggio "Durante l'accoppiamento").
- Motivo della necessità: chiedere al provider di avviare risolve un problema su alcuni dispositivi.
- Se il byte dei flag della richiesta ha il bit 1 impostato su 0:
- Attendi fino a 10 secondi per la richiesta di accoppiamento. Se non ne viene ricevuto nessuno, esci.
- Tieni presente che potrebbe essere una richiesta BR/EDR, proveniente da un indirizzo diverso (l'indirizzo pubblico del Cercante anziché il suo indirizzo privato risolvibile). Verificheremo di nuovo durante l'accoppiamento che il dispositivo richiedente sia in possesso di K.
Durante l'accoppiamento:
- Quando il cercatore riceve un pacchetto di richiesta/risposta di accoppiamento: Se le Funzionalità del dispositivo nella richiesta sono NoInput/NoOutput, termina l'accoppiamento per evitare di utilizzare il metodo di accoppiamento Just Works.
- Per il pacchetto di richiesta/risposta di accoppiamento inviato dal provider: imposta il campo Device Capabilities su Display/YesNo e imposta i requisiti di autenticazione su Protezione MITM richiesta. In questo modo viene attivato il metodo di accoppiamento numerico (noto anche come conferma della passkey su Android). Ci basiamo su questi dati per confermare che il dispositivo richiedente sia effettivamente il Ricercatore di accoppiamento rapido e che non esista un man-in-the-middle. Visualizza alcuni esempi.
- Motivo della necessità: il metodo di accoppiamento Out-of-Band sarebbe più adatto, ma la piattaforma non lo espone a tutte le versioni di Android desiderate.
Quando è necessaria la conferma della passkey, attendi fino a 10 secondi per la scrittura della caratteristica della passkey.
- Normalmente, con questo metodo di accoppiamento, l'utente conferma che le passkey visualizzate sullo schermo di ogni dispositivo sono identiche. Solo per questo accoppiamento li trasferiamo tramite BLE, criptati con la chiave precondivisa attendibile.
- Tieni presente che questo approccio non deve essere adottato per i dispositivi dotati di schermo o tastiera, in quanto compromette leggermente la protezione MITM. Al momento l'accoppiamento rapido non supporta ancora questi tipi di dispositivi per questo motivo.
- Se il timer di 10 secondi scade senza che sia stata scritta una passkey, ignora K.
Quando un valore viene scritto nella caratteristica della passkey, questo è il blocco della passkey criptata. Decriptala con K per generare un blocco passkey non elaborato, il cui formato è mostrato in Caratteristica: passkey > Tabella 2.2 - (tipo = Passkey del cercatore).
Se la decrittografia non va a buon fine, ignora la scrittura e ignora K.
In caso contrario, il Raw Passkey Block contiene una passkey di 6 cifre PSeeker, ovvero la passkey che si aspetta.
Confronta PSeeker con la nostra passkey prevista, PProvider.
- Se i valori sono uguali, rispondi "yes" alla conferma.
- In caso contrario, rispondi "no" alla conferma, causando il mancato accoppiamento.
Indipendentemente dal fatto che l'accoppiamento non sia riuscito, produci un altro blocco di passkey non elaborato, con il formato mostrato in Caratteristica: passkey > Tabella 2.2, contenente la nostra passkey prevista, PProvider.
- Assicurati che il tipo del blocco sia corretto (passkey del provider, vedi tabella). NOTA: non riutilizzare il sale del Blocco passkey ricevuto dal Ricercatore. Genera un nuovo valore casuale.
Cripta il blocco di passkey non elaborato con K e invia il risultante blocco di passkey criptata tramite una notifica sulla caratteristica della passkey.
Se il cercatore riceve e decripta la passkey P corretta, risponderà "sì" alla conferma e l'accoppiamento andrà a buon fine.
- Se l'accoppiamento va a buon fine, contrassegna K come utilizzabile per decriptare le scritture della chiave dell'account su questo link LE, ma non per le scritture successive o le scritture di passkey su altri link. Avvia un timer per eliminare K dopo 10 secondi. Elimina anche il simbolo K dopo qualsiasi tentativo di scrittura di una chiave dell'account e, come indicato nel passaggio 4, se il link LE si disconnette.
- Se l'accoppiamento non va a buon fine, elimina K.
Ripristina il campo delle capacità del dispositivo sulle funzionalità I/O predefinite e i requisiti di autenticazione sui valori predefiniti in modo che i nuovi accoppiamenti continuino come previsto.
Tieni presente che, per i provider che non richiedono il bonding, il richiedente non invia una richiesta di accoppiamento al provider, ovvero i passaggi dai passaggi 8 e 17 vengono ignorati. Inoltre, "K" viene utilizzato nella caratteristica della chiave dell'account.