Процедура быстрого сопряжения

Процедура

Вместо немедленного вызова любой из обычных процедур связывания BR/EDR или BLE, Seeker сначала включает уведомления о характеристике сопряжения на основе ключей, а затем записывает в него данные из таблицы 1.1 .

При обработке запроса на запись от искателя быстрого соединения поставщик быстрого соединения должен сделать следующее:

1. Если присутствует необязательное поле открытого ключа:
   1. Если устройство не находится в режиме сопряжения, проигнорируйте запись и выйдите.
   2. В противном случае:
      1. Используйте полученный открытый ключ (64-байтовую точку на эллиптической кривой secp256r1), предустановленный закрытый ключ защиты от спуфинга — также secp256r1 и алгоритм Эллиптической кривой Диффи-Хеллмана для генерации 256-битного ключа AES.
      2. Используйте SHA-256 для хеширования 256-битного ключа AES.
      3. Возьмите первые 128 бит результата. Это ключ AES защиты от спуфинга, который будет использоваться на следующем этапе.

2. Используя AES-128, попытайтесь расшифровать значение. Поскольку значение представляет собой один 16-байтовый блок AES, режим IV или многоблочного шифрования не требуется.

   1. Какой ключ использовать:
      1. Если ключ AES защиты от спуфинга был создан на шаге 1, используйте этот ключ.
      2. В противном случае попробуйте каждый ключ в сохраненном списке ключей учетной записи.
   2. Если ключ успешно расшифровывает значение, прервите его и перейдите к следующему шагу.

   3. Значение расшифровывается успешно, если выходные данные соответствуют формату в таблице 1.2.1 или таблице 1.2.2 (то есть, если они содержат либо текущий адрес BLE поставщика быстрого соединения, либо публичный адрес поставщика быстрого соединения).

      ПРИМЕЧАНИЕ. В конце упаковки прикреплена соль. Когда это возможно, эти соли следует отслеживать, и если поставщик получает запрос, содержащий уже использованную соль, этот запрос следует игнорировать, чтобы предотвратить атаки повторного воспроизведения.

   4. В качестве альтернативы отслеживанию солей, если запись включает в себя частный адрес поставщика, другой способ предотвратить атаки повторного воспроизведения — перенести время следующей разрешимой ротации частного адреса, чтобы ротация произошла до того, как будет выполнена следующая запись спаривания на основе ключей. принял.

3. Если ни один ключ не может успешно расшифровать значение, проигнорируйте запись и выйдите.

   1. Ведите подсчет этих неудач. Когда количество ошибок достигнет 10, немедленно отклоняйте все новые запросы. Сбросьте счетчик ошибок через 5 минут, после включения питания или после успешного завершения.

4. В противном случае сохраните успешный ключ как K. Отметьте этот K как пригодный для расшифровки записей пароля и персонализированного имени, полученных по этой ссылке LE, но не для других записей или записей по любой другой ссылке. Запустите таймер, чтобы сбросить K через 10 секунд, если соединение не было начато. Также отбросьте K , если этот канал LE отключится.

5. Создайте 16-байтовый необработанный ответ, показанный в таблице 1.3 , путем объединения типа и адреса BR/EDR поставщика, а затем заполнения оставшейся части пакета блоком случайных байтов (то есть солью).

6. Зашифруйте необработанный ответ с помощью K, чтобы получить 16-байтовый зашифрованный ответ, показанный в таблице 1.4 . Отправьте это через уведомление о характеристике сопряжения на основе ключей.

7. Прочтите флаг запроса:

   1. Если в байте флагов запроса бит 2 установлен в 1 , уведомите о характеристике дополнительных данных с персонализированным именем.
   2. Если в байте флагов запроса бит 1 установлен в 1:
      1. Это указывает на то, что Искатель запрашивает Поставщика инициировать соединение с адресом BR/EDR Искателя, который присутствует в байтах 8–13.
      2. Отправьте запрос на сопряжение на адрес BR/EDR Искателя. Запрос на сопряжение должен быть таким, как описано ниже (шаг «Во время сопряжения»).
      3. Причина, по которой это необходимо: инициирование поставщиком позволяет обойти проблему на некоторых устройствах.
   3. Если в байте флагов запроса бит 1 установлен в 0:
      1. Подождите до 10 секунд для запроса на сопряжение. Если ничего не получено, выйдите.
      2. Обратите внимание, что это может быть запрос BR/EDR с другого адреса (публичный адрес Искателя вместо его разрешаемого частного адреса). Во время сопряжения мы повторно проверим, что запрашивающее устройство владеет K .

8. Во время сопряжения:

   1. При получении пакета запроса/ответа на сопряжение от Seeker: Если в запросе указаны возможности устройства NoInput/NoOutput, завершите сопряжение, чтобы избежать использования метода сопряжения Just Works.
   2. Для пакета запроса/ответа на сопряжение, отправленного поставщиком: установите в поле «Возможности устройства» значение «Отображение/ДаНет» и установите для параметра «Требования аутентификации» значение «Требуется защита MITM» . Это активирует метод сопряжения числового сравнения (также известный как подтверждение пароля на Android). Мы полагаемся на это, чтобы подтвердить, что запрашивающее устройство на самом деле является устройством поиска быстрой пары и что посредника нет. См. примеры .
   3. Причина, по которой это необходимо: метод внеполосного сопряжения подойдет лучше, но платформа не предоставляет его на всех желаемых версиях Android.

9. Если требуется подтверждение ключа доступа , подождите до 10 секунд для записи характеристики ключа доступа .

   1. Обычно при использовании этого метода сопряжения пользователь должен подтвердить, что ключи доступа, отображаемые на экране каждого устройства, идентичны. Вместо этого, только для этого соединения, мы передаем их через BLE, зашифровав их доверенным предварительным ключом.
   2. Обратите внимание, что этот подход не следует применять для устройств с экраном или клавиатурой, поскольку он несколько снижает защиту MITM. По этой причине Fast Pair в настоящее время не поддерживает эти типы устройств.
   3. Если 10-секундный таймер истекает без записи ключа доступа, отбросьте K .

10. Когда значение записывается в характеристику ключа доступа , это зашифрованный блок ключа доступа. Расшифруйте его с помощью K, чтобы получить необработанный блок ключа доступа в формате, показанном в разделе «Характеристика: Ключ доступа» > Таблица 2.2 — (тип = Ключ доступа Искателя).

11. Если расшифровка не удалась, игнорируйте запись и отбрасывайте K.

12. В противном случае блок необработанного ключа доступа содержит 6-значный ключ доступа P _Seeker , который является ключом доступа, который ожидает Seeker.

13. Сравните P _Seeker с нашим ожидаемым ключом доступа P _Provider .

    1. Если значения равны, ответьте «да» на подтверждение.
    2. В противном случае ответьте «нет» на подтверждение, что приведет к сбою сопряжения.

14. Независимо от того, не удалось ли сопряжение, создайте еще один блок необработанного ключа доступа в формате, показанном в разделе «Характеристика: Ключ доступа» > Таблица 2.2 , содержащий наш собственный ожидаемый ключ доступа P _Provider .

    1. Убедитесь, что блок имеет правильный тип (пароль провайдера; см. таблицу). ПРИМЕЧАНИЕ. Не используйте повторно соль из блока ключа, полученного от Искателя. Создайте новое случайное значение.

15. Зашифруйте необработанный блок ключа с помощью K и отправьте полученный зашифрованный блок ключа через уведомление о характеристике ключа доступа.

16. Если Искатель получит и расшифровает правильный ключ доступа P , Искатель также ответит «да» на подтверждение, и соединение будет успешным.

    1. Если сопряжение прошло успешно, отметьте K как пригодный для расшифровки записи ключа учетной записи по этой ссылке LE, но не для любой последующей записи пароля или записи по любой другой ссылке. Запустите таймер, чтобы сбросить K через 10 секунд. Также отбрасывайте K после любой попытки записать ключ учетной записи и, как указано в шаге 4, если связь LE отключается.
    2. Если спаривание не удалось, отбросьте K.

17. Переключите поле возможностей устройства обратно на возможности ввода-вывода по умолчанию, а требования аутентификации — на значение по умолчанию, чтобы новые пары продолжались должным образом.

Обратите внимание, что для Провайдеров, которым не требуется связывание, Искатель не отправляет Поставщику запрос на сопряжение, то есть шаги 8–17 пропускаются. Кроме того, «К» используется в характеристике «Ключ счета» .

Примеры