Schnelles Pairing

Vorgehensweise

Anstatt sofort eines der normalen BR/EDR- oder BLE-Bonding-Verfahren aufzurufen, aktiviert der Seeker zuerst Benachrichtigungen für die schlüsselbasierte Kopplungseigenschaft und schreibt dann die Daten aus Tabelle 1.1 in diese.

Wenn ein Anbieter für schnelles Pairing eine Schreibanfrage verarbeitet, führt er folgende Schritte aus:

  1. Wenn das optionale Feld „Öffentlicher Schlüssel“ vorhanden ist:
    1. Wenn sich das Gerät nicht im Kopplungsmodus befindet, ignorieren Sie das Schreiben und Beenden.
    2. Andernfalls gehen Sie so vor:
      1. Verwenden Sie den empfangenen öffentlichen Schlüssel (einen 64-Byte-Punkt auf der Elliptische-Kurven-Kurve secp256r1), den vorinstallierten Anti-Spoofing-privaten Schlüssel (auch secp256r1) und den Elliptic-Curve-Diffie-Hellman-Algorithmus, um einen 256-Bit-AES-Schlüssel zu generieren.
      2. Verwenden Sie SHA-256, um den 256-Bit-AES-Schlüssel zu hashen.
      3. Nehmen Sie die ersten 128 Bit des Ergebnisses. Der AES-Schlüssel „Anti-Spoofing“, der im nächsten Schritt verwendet wird.
  2. Versuchen Sie, den Wert mit AES-128 zu entschlüsseln. Da der Wert ein einzelner 16-Byte-AES-Block ist, ist kein IV- oder Multi-Block-Chiffremodus erforderlich.

    1. Welchen Schlüssel Sie verwenden sollten:
      1. Wenn in Schritt 1 ein Anti-Spoofing-AES-Schlüssel generiert wurde, verwenden Sie diesen Schlüssel.
      2. Versuchen Sie andernfalls alle Schlüssel in der beibehaltenen Kontoschlüsselliste.
    2. Wenn ein Schlüssel den Wert erfolgreich entschlüsselt hat, brechen Sie den Vorgang ab und fahren Sie mit dem nächsten Schritt fort.
    3. Der Wert wird erfolgreich entschlüsselt, wenn die Ausgabe dem Format in Tabelle 1.2.1 oder Tabelle 1.2.2 entspricht, d. h. wenn sie entweder die aktuelle BLE-Adresse des Anbieters für schnelles Pairing oder die öffentliche Adresse des Anbieters für schnelles Pairing enthält.

      HINWEIS: Am Ende des Pakets befindet sich ein Salt. Wenn möglich, sollten diese Salts erfasst werden. Wenn der Anbieter eine Anfrage mit einem bereits verwendeten Salt erhält, sollte die Anfrage ignoriert werden, um Replay-Angriffe zu verhindern.

    4. Wenn der Schreibvorgang die private Adresse des Anbieters enthält, können Sie als Alternative zum Nachverfolgen von Salts auch Replay-Angriffe verhindern, indem Sie den Zeitpunkt der nächsten lösbaren privaten Adressrotation so verschieben, dass der nächste Schreibvorgang auf Basis eines schlüsselbasierten Paars akzeptiert wird.

  3. Wenn der Wert mit keinem Schlüssel entschlüsselt werden konnte, ignoriere den Schreibvorgang und den Exit.

    1. Erfassen Sie die Anzahl dieser Fehler. Wenn die Fehleranzahl 10 erreicht, schlagen alle neuen Anfragen sofort fehl. Setzen Sie die Fehleranzahl nach 5 Minuten, nach dem Einschalten oder nach einem Erfolg zurück.
  4. Andernfalls speichern Sie den erfolgreichen Schlüssel als K. Markieren Sie dieses K als zum Entschlüsseln von Passkey- und personalisierten Namen nutzbaren Schreibvorgängen, die unter diesem LE-Link empfangen werden, aber nicht für andere Schreib- oder Schreibvorgänge auf anderen Links. Wenn die Kopplung noch nicht gestartet wurde, starten Sie einen Timer, um K nach 10 Sekunden zu verwerfen. Verwerfen Sie auch K, wenn diese LE-Verbindung getrennt wird.

  5. Erstellen Sie die in Tabelle 1.3 gezeigte Rohantwort mit 16 Byte. Verketten Sie dazu den Typ und die BR/EDR-Adresse des Anbieters und füllen Sie den Rest des Pakets mit einem Block zufälliger Byte (also einem Salt) aus.

  6. Verschlüsseln Sie die Rohantwort mit K, um die in Tabelle 1.4 gezeigte verschlüsselte 16-Byte-Antwort zu generieren. Senden Sie dies über eine Benachrichtigung zum Merkmal der schlüsselbasierten Kopplung.

  7. Lesen Sie das Anfrage-Flag:

    1. Wenn für das Byte für die Flags der Anfrage Bit 2 auf 1 gesetzt ist, benachrichtigen Sie das Merkmal für zusätzliche Daten mit einem personalisierten Namen.
    2. Wenn im Byte für die Flags der Anfrage Bit 1 auf 1 gesetzt ist:
      1. Dies weist darauf hin, dass der Suchende den Anbieter anfordert, die Verbindung zur BR/EDR-Adresse des Suchenden zu initiieren, die in Byte 8–13 vorhanden ist.
      2. Sende eine Kopplungsanfrage an die BR/EDR-Adresse des Suchers. Die Kopplungsanfrage muss wie unten beschrieben aussehen (Schritt „Während der Kopplung“).
      3. Grund: Wenn der Anbieter die Initiierung des Anbieters initiiert, kann ein Problem auf einigen Geräten umgangen werden.
    3. Wenn im Byte für die Flags der Anfrage Bit 1 auf 0 gesetzt ist:
      1. Warten Sie bis zu 10 Sekunden auf eine Kopplungsanfrage. Wird keiner empfangen, wird beendet.
      2. Beachten Sie, dass dies eine BR/EDR-Anfrage von einer anderen Adresse sein kann (die öffentliche Adresse des Suchenden anstelle seiner auflösbaren privaten Adresse). Während der Kopplung wird noch einmal überprüft, ob sich das anfordernde Gerät im Besitz von K befindet.
  8. Während der Kopplung:

    1. Wenn der Sucher ein Kopplungsanfrage/Antwort-Paket erhält, gilt Folgendes: Wenn die Gerätefunktionen in der Anfrage "NoInput/NoOutput" lauten, beenden Sie die Kopplung. So vermeiden Sie die Verwendung der Just Works-Kopplungsmethode.
    2. Für das vom Anbieter gesendete Anfrage-/Antwortpaket für die Kopplung: Setze das Feld „Gerätefunktionen“ auf Display/YesNo und setze „Authentifizierungsanforderungen“ auf MITM Protection required. Dadurch wird die Kopplungsmethode des numerischen Vergleichs ausgelöst (unter Android auch als Passkey-Bestätigung bezeichnet). Wir verlassen uns auf diese Information, um zu bestätigen, dass es sich bei dem anfordernden Gerät tatsächlich um das schnelle Pairing handelt und es keinen Man-in-the-Middle gibt. Beispiele
    3. Grund: Die Out-of-Band-Kopplungsmethode wäre besser geeignet, wird aber von der Plattform nicht für alle gewünschten Android-Versionen angezeigt.
  9. Wenn der Passkey bestätigt werden muss, warten Sie bis zu 10 Sekunden, bis das Passkey-Merkmal geschrieben wurde.

    1. Normalerweise bestätigt der Nutzer bei dieser Kopplungsmethode, dass die auf dem Bildschirm jedes Geräts angezeigten Passkeys identisch sind. Stattdessen übertragen wir sie nur für diese Kopplung über BLE, verschlüsselt mit dem vertrauenswürdigen vorinstallierten Schlüssel.
    2. Dieser Ansatz sollte nicht für Geräte mit einem Bildschirm oder einer Tastatur gewählt werden, da dadurch der MITM-Schutz geringfügig beeinträchtigt wird. Die Funktion „Schnelles Pairing“ unterstützt diese Gerätetypen daher derzeit nicht.
    3. Wenn der 10-Sekunden-Timer abläuft, ohne dass ein Passkey geschrieben wird, verwerfen Sie K.
  10. Wenn ein Wert in die Passkey-Eigenschaft geschrieben wird, ist dies der verschlüsselte Passkey-Block. Entschlüsseln Sie sie mit K, um einen unbearbeiteten Passkey-Block mit dem Format zu erhalten, das in Merkmal: Passkey > Tabelle 2.2 (Typ = Passkey des Suchenden) gezeigt wird.

  11. Wenn die Entschlüsselung fehlschlägt, ignorieren Sie den Schreibvorgang und verwerfen Sie K.

  12. Andernfalls enthält der unformatierte Passkey-Block einen sechsstelligen Passkey-PSeeker. Dies ist der Passkey, den der Seeker erwartet.

  13. Vergleichen Sie PSeeker mit unserem eigenen erwarteten Passkey PProvider.

    1. Wenn die Werte gleich sind, antworten Sie auf die Bestätigung mit „Ja“.
    2. Andernfalls antworten Sie mit „Nein“ auf die Bestätigung und führen zu einem Fehler beim Koppeln.
  14. Unabhängig davon, ob die Kopplung fehlgeschlagen ist, erstellen Sie einen weiteren Roh-Passkey-Block mit dem Format, das in Merkmal: Passkey > Tabelle 2.2 gezeigt wird und unseren eigenen erwarteten Passkey PProvider enthält.

    1. Achten Sie darauf, dass der Block den richtigen Typ hat (Passkey des Anbieters; siehe Tabelle). HINWEIS: Verwende nicht den Salt aus dem Passkey-Block, den du vom Sucher erhalten hast. Erzeugen Sie einen neuen Zufallswert.
  15. Verschlüsseln Sie den unbearbeiteten Passkey-Block mit K und senden Sie den resultierenden verschlüsselten Passkey-Block über eine Benachrichtigung für die Passkey-Eigenschaft.

  16. Wenn der Suchende den richtigen Passkey P empfängt und entschlüsselt, antwortet er ebenfalls mit „Ja“ auf die Bestätigung und die Kopplung ist erfolgreich.

    1. Wenn die Kopplung erfolgreich ist, markieren Sie K als verwendbar zum Entschlüsseln von Kontoschlüsselschreibvorgängen in diesem LE-Link, aber nicht für nachfolgende Passkey-Schreibvorgänge oder Schreibvorgänge auf anderen Links. Starten Sie einen Timer, um K nach 10 Sekunden zu verwerfen. Verwerfen Sie außerdem K nach jedem Versuch, einen Kontoschlüssel zu schreiben, und wie in Schritt 4 beschrieben, wenn die LE-Verbindung getrennt wird.
    2. Wenn die Kopplung fehlschlägt, verwerfen Sie K.
  17. Setzen Sie das Feld für Gerätefunktionen auf die Standardeinstellungen für E/A-Funktionen und Authentifizierungsanforderungen zurück, damit neue Kopplungen wie erwartet fortgesetzt werden.

Beachten Sie, dass bei Anbietern, die kein Binden benötigen, der Suchende keine Kopplungsanfrage an den Anbieter sendet, d. h. Schritt 8 – Schritt 17 wird übersprungen. Außerdem wird für das Kontoschlüsselmerkmal "K" verwendet.

Beispiele
Beispiel 1: Erfolgreicher Kopplungsversuch (kein Man-in-the-Middle).
Beispiel 2: Fehlgeschlagener Kopplungsversuch mit Man-in-the-Middle.