Procedimiento de Vinculación rápida

Procedimiento

En lugar de invocar inmediatamente cualquiera de los procedimientos normales de vinculación BR/EDR o BLE, el buscador primero habilita las notificaciones en la característica de vinculación basada en claves y, luego, escribe en él los datos de la Tabla 1.1.

Cuando maneje una solicitud de escritura de un buscador de vinculación rápida, el proveedor de vinculación rápida hará lo siguiente:

  1. Si el campo opcional Clave pública está presente, haz lo siguiente:
    1. Si el dispositivo no está en modo de vinculación, ignora la escritura y sal.
    2. De lo contrario, sigue estos pasos:
      1. Usa la clave pública recibida (un punto de 64 bytes en la curva elíptica secp256r1), la clave privada contra falsificación de identidad preinstalada (también secp256r1) y el algoritmo de curva elíptica Diffie-Hellman para generar una clave AES de 256 bits.
      2. Usa SHA-256 para aplicar un hash a la clave AES de 256 bits.
      3. Toma los primeros 128 bits del resultado. Esta es la clave AES antifalsificación, que se usará en el siguiente paso.

  2. Usa AES-128 para intentar desencriptar el valor. Dado que el valor es un bloque de AES único de 16 bytes, no se necesita un modo de cifrado IV o de varios bloques.

    1. Qué clave usar:
      1. Si se generó una clave AES contra la falsificación de identidad en el paso 1, úsala.
      2. De lo contrario, prueba cada clave de la Lista de claves de la cuenta guardada.
    2. Si una clave desencripta correctamente el valor, deja de hacerlo y continúa con el siguiente paso.

    3. El valor se desencripta correctamente si el resultado coincide con el formato de la Tabla 1.2.1 o la Tabla 1.2.2 (es decir, si contiene la dirección BLE actual del proveedor de Vinculación rápida o la dirección pública del proveedor de Vinculación rápida).

      NOTA: Al final del paquete, hay una sal adjunta. Cuando sea posible, se debe realizar un seguimiento de estas sales y, si el proveedor recibe una solicitud que contiene una sal ya usada, se debe ignorar la solicitud para evitar ataques de repetición.

    4. Como alternativa al seguimiento de las sales, si la escritura incluye la dirección privada del proveedor, otra manera de evitar los ataques de repetición es adelantar la hora de la siguiente rotación de la dirección privada que se puede resolver para que la rotación ocurra antes de que se acepte la siguiente escritura de vinculación basada en claves.

  3. Si ninguna clave pudo desencriptar correctamente el valor, ignora la escritura y la salida.

    1. Lleva un recuento de estas fallas. Cuando el recuento de errores llega a 10, fallan todas las solicitudes nuevas de inmediato. Restablece el recuento de fallas después de 5 minutos, después de encender el dispositivo o después de una ejecución correcta.

  4. De lo contrario, guarda la clave exitosa como K. Marca esta K como utilizable para desencriptar llaves de acceso y escrituras de nombres personalizados recibidas en este vínculo de LE, pero no otras escrituras ni escrituras en ningún otro vínculo. Inicia un temporizador para descartar K después de 10 segundos si no se inició la vinculación. También descarta K si se desconecta este vínculo de LE.

  5. Genera la respuesta sin procesar de 16 bytes que se muestra en la Tabla 1.3. Para ello, concatena el tipo y la dirección BR/EDR del proveedor y, luego, completa el resto del paquete con un bloque de bytes aleatorios (es decir, una sal).

  6. Encripta la respuesta sin procesar con K para producir la respuesta encriptada de 16 bytes que se muestra en la Tabla 1.4. Se envía a través de una notificación sobre la característica de vinculación basada en claves.

  7. Lee la marca de la solicitud:

    1. Si el byte de marcas de la solicitud tiene el bit 2 configurado en 1, notifica Característica de datos adicionales con un nombre personalizado.
    2. Si el byte de marcas de la solicitud tiene el bit 1 configurado en 1, haz lo siguiente:
      1. Esto indica que el buscador le está solicitando al proveedor que inicie la vinculación a la dirección BR/EDR del buscador, que está presente en bytes 8-13.
      2. Envía una solicitud de vinculación a la dirección BR/EDR del Seeker. La solicitud de vinculación debe ser como se describe a continuación (paso "Durante la vinculación").
      3. Razón necesaria: Hacer que el proveedor inicie el servicio soluciona un problema en algunos dispositivos.
    3. Si el byte de marcas de la solicitud tiene el bit 1 configurado en 0, haz lo siguiente:
      1. Espera hasta 10 segundos para recibir una solicitud de vinculación. Si no recibes ninguna, sal.
      2. Ten en cuenta que puede ser una solicitud BR/EDR de una dirección diferente (la dirección pública del Seeker, en lugar de la dirección privada que se puede resolver). Volveremos a verificar durante la vinculación que el dispositivo solicitante tenga K.

  8. Durante la vinculación:

    1. Cuando se recibe un paquete de solicitud/respuesta de vinculación de Seeker: si las capacidades del dispositivo en la solicitud son NoInput/NoOutput, finaliza la vinculación para evitar el uso del método de vinculación Just Works.
    2. Para el paquete de solicitud/respuesta de vinculación que envía el proveedor, establece el campo Device Capabilities en Display/YesNo y establece los requisitos de autenticación en MITM Protection Required. De esta manera, se activa el método de vinculación de comparación numérica (también conocido como Confirmación de llave de acceso en Android). Confiamos en esto para confirmar que el dispositivo solicitante es, de hecho, el buscador de Vinculación rápida y que no hay ningún intermediario. Consulta los ejemplos.
    3. Motivo por el que esto es necesario: El método de vinculación fuera de banda sería una mejor opción, pero la plataforma no lo expone en todas las versiones de Android deseadas.

  9. Cuando se necesite la confirmación de la llave de acceso, espera hasta 10 segundos para escribir en la característica de la llave de acceso.

    1. Por lo general, con este método de vinculación, el usuario confirmaría que las llaves de acceso que se muestran en la pantalla de cada dispositivo son idénticas. En cambio, solo para esta vinculación, las transferimos a través de BLE, encriptadas con la clave precompartida de confianza.
    2. Ten en cuenta que este enfoque no se debe adoptar para dispositivos que tienen pantalla o teclado, ya que compromete ligeramente la protección de MITM. Por este motivo, la Vinculación rápida aún no admite esos tipos de dispositivos.
    3. Si el temporizador de 10 segundos finaliza sin que se escriba una llave de acceso, descarta K.

  10. Cuando se escribe un valor en la característica de la llave de acceso, este es el bloque de llave de acceso encriptado. Desencriptarlo con K para obtener un bloque de llave de acceso sin procesar, con el formato que se muestra en Characteristic: Passkey > Table 2.2 - (type = Seeker's Passkey).

  11. Si falla la desencriptación, ignora la escritura y descarta K.

  12. De lo contrario, el Bloque de llaves de acceso sin procesar contiene una llave de acceso de 6 dígitos PSeeker, que es la llave de acceso que espera el buscador.

  13. Compara PSeeker con nuestra propia llave de acceso esperada, PProvider.

    1. Si los valores son iguales, responde “yes” a la confirmación.
    2. De lo contrario, responde "no" a la confirmación, lo que hará que falle la vinculación.

  14. Independientemente de si la vinculación falló, produce otro bloque de llave de acceso sin procesar con el formato que se muestra en Characteristic: Passkey > Tabla 2.2, que contiene nuestra propia llave de acceso esperada, PProvider.

    1. Asegúrate de que el bloque tenga el tipo correcto (llave de acceso del proveedor; consulta la tabla). NOTA: No vuelvas a usar la sal del bloque de llaves de acceso que recibió del buscador. Genera un nuevo valor aleatorio.

  15. Encripta el bloque de llave de acceso sin procesar con K y envía el bloque de llave de acceso encriptada resultante a través de una notificación sobre la característica de la llave de acceso.

  16. Si el buscador recibe y desencripta la llave de acceso P correcta, también responderá "sí" a la confirmación, y la vinculación tendrá éxito.

    1. Si la vinculación se realiza correctamente, marca K como utilizable para desencriptar las escrituras de la clave de cuenta en este vínculo de LE, pero no para las escrituras de llaves de acceso posteriores ni las escrituras en ningún otro vínculo. Inicia un temporizador para descartar K después de 10 segundos. También descarta K luego de cualquier intento de escribir una clave de cuenta y, según el paso 4, si se desconecta el vínculo de LE.
    2. Si la vinculación falla, descarta K.

  17. Vuelve a cambiar el campo de capacidades del dispositivo a las funciones de E/S predeterminadas y los requisitos de autenticación a los valores predeterminados para que las nuevas vinculaciones continúen como se espera.

Ten en cuenta que, en el caso de los proveedores que no requieren vinculación, Seeker no envía una solicitud de vinculación al proveedor. Se omite el paso 8: se omite el paso 17. Además, "K" se usa en Característica clave de la cuenta.

Ejemplos
Ejemplo 1: Intento de vinculación exitoso (sin intermediario).
Ejemplo 2: Intento de vinculación fallido con un intermediario.