SAE(WPA3-Personal)认证原理简介

椭圆曲线（Elliptic Curve）

椭圆曲线是满足公式 $y^2=x^3+ax+b$ 曲线. 对于任意曲线 $S=\{(x,y)|y^2=x^3+ax+b\}$, 在其之上, 可以定义运算 $+$.

集合$S$上的运算，就是一个从$S\times S$到$S$的映射. 换句话说$A\cdot B=F(A,B)=C$, $F$是满足下列条件的映射: $F$接受两个取自$S$的参数, 输出一个位于$S$中的结果$C$

介绍运算$\cdot$的定义前, 我们需要先了解一下椭圆曲线的一些性质.

1. 关于$x$轴对称
2. 过曲线上任意两点$A,B$的连线必定和曲线交于第三点$C$，并且这条直线和曲线除了$A,B$之外也仅有$C$这一个交点
3. 对于任意$A(x,y)$, 可以定义逆元$A^{-1}(x,-y)$, 二者连线垂直于$x$轴.

基于此, 我们给出运算 $\cdot$ 的定义. 设$A,B$是曲线上任意两点, $C$是$A,B$连线与曲线的交点, $C^{\prime }$是$C$关于$x$轴的对称点, 运算 $\cdot$定义为: $A\cdot B=C^{\prime }$

对于$A+A$这个表达式, 在寻找运算结果时, 不能做连线而要做切线, 运算结果为 $A+A=B^{\prime }$, 可以把 $A+A$记作 $2A$, 以此类推, 对于任意整数(关于负数可以下面的逆元定义) $a$, 都可以找到曲线上的点$aA$

本文不想深究椭圆曲线的细节, 所以不加证明的给出运算 $+$ 的以下性质:

1. $+$ 满足交换律, 即 $A+B=B+A$
2. $+$ 满足结合律, 即 $(A+B)+C=A+(B+C)$
3. 对于任意$A(x,y)$, 可以定义逆元$-A=(x,-y)$, 二者连线垂直于$x$轴, 可以理解为连线与曲线交于无穷远. 对于这个逆元, $B+A+(-A)=B$
4. 对于$aG=A$, 在已知 $G$ 和 $A$ 的情况下, 几乎无法倒推 $a$ 的值

在椭圆曲线上通常把无穷远点 $“pointatinfinity"$ 记作零元 $\mathcal{O}$ .

1. 易验证, $A+(-A)=\mathcal{O}$
2. 对于一个固定点$A$, 假设有一个可以在曲线上移动的点$X$, 当$X$趋向于无穷远点时, $AX$连线与椭圆曲线交点趋向于$-A$, 即$A+\mathcal{O}=A$
3. 对于任意整数$k$, $k\mathcal{O}=\mathcal{O}$

基于椭圆曲线的DH算法

迪菲-赫尔曼密钥交换协议(DH算法), 是一种协商密钥的算法. 在此介绍基于椭圆曲线的DH算法.

Client 和 Server 可以通过一下方式协商密钥.

条件: 需要有双方都预先知道的一条特定椭圆曲线以及曲线上一点$P$

步骤:

1. Client 生成随机数$c$, 并将$C=cP$ 发送给Server
2. Server 生成随机数$s$, 并将 $S=sP$ 发送给 Client
3. Server 收到 $C$ 后计算 $K=sC=scP$
4. Client 收到 $S$ 后计算 $K=cS=csP=scP$
5. 双方以 $K$ 作为密钥

SAE 密钥协商

离散椭圆曲线

为了便于计算, 在密码学中没有使用连续的椭圆曲线, 而是采用了离散椭圆曲线. 离散椭圆曲线由式子$y^2=x^3+ax+b\mathrm{mod}p$所表示, 它定义了如下一条曲线, 可以看出, $E$ 中仅有有限个元素
$$E=\{(x,y)|y^2\mathrm{mod}p=x^3+ax+b\mathrm{mod}p,0<x<p,0<y<p\}$$
在802.11协议中, 进行密钥交换使用的是ECC(Elliptic Curve Cryptography, 椭圆曲线密码学) group. Group(群)的概念在此不做展开, 简单来说, 如果一个集合上可以定义一种满足一系列条件的运算(例如上文提到的$+$), 那么这个集合可以叫做关于这个运算的群. 上文提到曲线$E$ 就是关于运算$+$的群.

一个ECC group 由一个六元组$(p,a,b,G,r,h)$ 定义

1. $a,b$是椭圆曲线的参数
2. $p$ 是一个素数
3. $G$ 是曲线上一个指定的点, 叫做生成元, 在SAE 密钥协商过程中没有使用到
4. $r$ 是$G$的素数阶, 即$r$ 是一个素数, 并且 $rG=\mathcal{O}$
5. $h$ 是余因子, 在SAE 密钥协商过程中没有使用到

当$h=1$时(SAE中使用的ECC group都满足这一点), ECC group还有如下性质:

1. 对于$E$中任意点$A$, 存在整数$k$ 满足条件$A=kG$
2. 对于$E$中任意点$A$, $rA=rkG=k(rG)=\mathcal{O}$

SAE 密钥协商简介

在 STA 向AP 发送的Authentication commit frame中, 需要选择一个ECC group, 选定group就意味着选定了六元组$(p,a,b,G,r,h)$

协议中定义了下面几种函数

1. $\mathbf{Z}=\mathbf{X}+\mathbf{Y}=\text{elem-op}(\mathbf{X},\mathbf{Y})$
2. $\mathbf{Z}=x\mathbf{Y}=\text{scalar-op}(x,\mathbf{Y})$
3. $\text{elem-op}(\mathbf{X},\text{inverse-op}(\mathbf{X}))=“pointatinfinity”$, 即$\text{inverse-op}(\mathbf{X})=-\mathbf{X}$

在进行协商时, 双方会根据MAC, password 等信息生成相同的$\mathbf{PWE}$. $\mathbf{PWE}$相当于介绍DH算法时提到的点$P$

STA和AP都需要根据下面公式生成$commit\text{-}scalar$和$\text{COMMIT-ELEMENT}$发送给对方.

其中$mask,rand$是随机数, 并且满足条件$1<rand<rand,1<mask<r\text{and}(rand+mask)\mathrm{mod}r\text{is greater than 1}$

$$\begin{array}{rl}& commit\text{-}scalar=(rand+mask)\mathrm{mod}r\\ & \text{COMMIT-ELEMENT}=\text{inverse-op}(\text{scalar-op}(mask,\mathbf{PWE}))\end{array}$$

对端设备收到后通过如下公式计算$\mathbf{K}$, 这里的$rand$和上面公式中的$rand$不是同一个, 这个是接收方自己生成的$rand$. $\mathbf{K}$可以理解为DH算法最终协商的密钥. 在SAE 密钥协商中, 会用它进行进一步处理派生PMK.
$$\begin{array}{rl}& \mathbf{K}=\text{scalar-op}(rand,(\text{elem-op}(\text{scalar-op}(peer\text{-}commit\text{-}scalar,\mathbf{PWE}),\\ & \mathbf{PEER}\text{-}\mathbf{COMMIT}\text{-}\mathbf{ELEMENT})))\end{array}$$
对于$K$, 我们将它转变为我们所熟悉的形式. 假设我们现在在AP 端计算$K$, AP 收到了 STA发送的$sta\text{-}commit\text{-}scalor=(sta\text{-}rand+sta\text{-}mask)\mathrm{mod}r$, AP也生成了自己$ap\text{-}rand$, 那么$K$为如下表达式
$$\begin{array}{rl}K& =ap\text{-}rand(sta\text{-}scalar\mathbf{PWE}+\mathbf{PEER}\text{-}\mathbf{COMMIT}\text{-}\mathbf{ELEMENT})\\ & =ap\text{-}rand(sta\text{-}scalar\mathbf{PWE}+(-sta\text{-}mask\mathbf{PWE}))\\ & =ap\text{-}rand((sta\text{-}rand+sta\text{-}mask)\mathrm{mod}r\mathbf{PWE}+(-sta\text{-}mask\mathbf{PWE}))\\ & =ap\text{-}rand((sta\text{-}rand+sta\text{-}mask)\mathrm{mod}r-sta\text{-}mask)\mathbf{PWE}\end{array}$$

因为$r\mathbf{PWE}=\mathcal{O}$, 所以可以将$K$进一步化简
$$\begin{array}{rl}K& =ap\text{-}rand((sta\text{-}rand+sta\text{-}mask)\mathrm{mod}r-sta\text{-}mask)\mathbf{PWE}\\ & =(ap\text{-}rand((sta\text{-}rand+sta\text{-}mask)\mathrm{mod}r-sta\text{-}mask))\mathrm{mod}r\mathbf{PWE}\\ & =(ap\text{-}rand((sta\text{-}rand+sta\text{-}mask)-sta\text{-}mask))\mathrm{mod}r\mathbf{PWE}\\ & =(ap\text{-}rand\times sta\text{-}rand)\mathrm{mod}r\mathbf{PWE}\end{array}$$

同理可知, STA收到$ap\text{-}commit\text{-}scalor=(ap\text{-}rand+ap\text{-}mask)\mathrm{mod}r$后也能计算出相同的$\mathbf{K}$. 如此, 便完成了DH密钥交换.

$PWE$ 的生成方式

802.11中规定了两种PWE的生成方式

通过循环生成$PWE$ (hunting and pecking模式)

这种模式的原理是在循环中根据password和MAC生成Hash值, pwd-value, 直至这个Hash可以作为一个ECC group中的$x$坐标, 即 $存在(x,y)\in E,满足x=pwd\text{-}value$

我们注意一下这个算法需要以下输入, 在AP 和STA 输入是相同的, 所以计算得出的$PWE$也是相同的

1. $\text{STA-A-MAC}$: 参与认证的一方的MAC地址, 因为SAE是对等的, 所以参与认证的双方用$\text{STA-A}$和$\text{STA-B}$表示
2. $\text{STA-B-MAC}$: 参与认证的另一方的MAC地址
3. $password$: SSID 配置的密码

1. $\text{H}$ 是一个Hash函数
2. 算法中有个$k$ 表示最小循环次数, 该值一般为40. 如果只进行了$m(n<k)$次循环就找到了符合条件的$pwd\text{-}value$, 那么还是会进行循环直到循环够40次, 但后续的循环中不会再对$pwd\text{-}value,save,base$做任何修改. $k$通过函数dragonfly_min_pwe_loop_iter选取.

unsigned int dragonfly_min_pwe_loop_iter(int group)
{
	if (group == 22 || group == 23 || group == 24) {
		/* FFC groups for which pwd-value is likely to be >= p
		 * frequently */
		return 40;
	}

	if (group == 1 || group == 2 || group == 5 || group == 14 ||
	    group == 15 || group == 16 || group == 17 || group == 18) {
		/* FFC groups that have prime that is close to a power of two */
		return 1;
	}

	/* Default to 40 (this covers most ECC groups) */
	return 40;
}

Hash-to-curve生成方式(Hash to element, H2E)

hunting and pecking模式有一个缺陷(CVE-2019-9494), 对不同的$password$ 生成 $pwd\text{-}value$ 的时间是不同的, 攻击者可通过测量生成$\mathbf{PWE}$所需的时间, 推断出密码验证所需的计算轮次, 进而推测密码的可能值(side-channel timing attack)。

为了应对这一风险, 802.11推出了H2E 生成方式.

H2E 的原理概括如下, 从这个原理可知, 双方生成$\mathbf{PWE}$所用的材料都是一致的, 所以生成的$\mathbf{PWE}$也是相同的

1. SSID 和 password 生成两个Hash值
2. 通过$\text{SSWU}$函数将这两个Hash值直接映射到ECC group上的两点$\mathbf{P}1,\mathbf{P}2$
3. 将二者相加得到$\mathbf{PT}$
4. 在Authentication时, 根据$\mathbf{PT},\text{STA-A-MAC},\text{STA-B-MAC}$计算$\mathbf{PWE}$

1. $\text{H},\text{HKDF-Expand},\text{HKDF-Extract}$ 根据输入的参数生成Hash值
2. $\text{SSWU}$可以输入的整数映射到ECC group上, 并且无论输入的参数如何, 计算所用的时间是相同的
3. 注意到$\mathbf{PT}$的生成只需要知道SSID 和 password, 所以可以在很早的阶段(例如AP配置阶段, STA网络选择阶段)计算$\mathbf{PT}$, 在Authentication时只需要通过少量计算便可生成$\mathbf{PWE}$

考察整个 $\mathbf{PWE}$的生成过程, 无论是计算 $\mathbf{PT}$ 还是计算$\mathbf{PWE}$, 计算所需时间都是一个和输入参数无关的常数, 这就很好的避免了side-channel timing attack.

$\text{SSWU}$定义如下

在Authentication 时根据如下公式计算$\mathbf{PWE}$

选择$PWE$ 生成方式

支持H2E 的AP应该在Beacon和Probe Response的 RSNXE中的Extended RSN Capabilities field中将 hash-to-element 设为 1.

如果STA 支持H2E并且要在连接中使用H2E, 那么在Authentication commit中应将status code设置为SAE_HASH_TO_ELEMENT

SAE Authentication 步骤

SAE Authentication的步骤如下所示, FFE就是上文提到的$\text{COMMIT-ELEMENT}$
STA 和AP 会先互相发送一组 commit 帧, 然后在互相发送一组 confirm 帧.

STA Commit 帧的生成

按照上文提到方法生成$commit\text{-}scalar$和$\text{COMMIT-ELEMENT}$发送给AP.

AP 处理 Commit 帧

AP 会检查 Commit帧中的scalar和FFE, 如果验证失败则发送一个Commit 帧并将status code设置为SECCESS和SAE_HASH_TO_ELEMENT以外的值表示认证失败. 如果认证成功则正常发送自己生成的scalar和FFE.

在这一步无法验证STA 的$\mathbf{PWE}$是否正确, 即无法验证STA输入的password是否正确. 此时, 只是验证scalar和FFE是否符合协议的要求.

1. scalar应该大于1小于$r$(ECC group 定义中的$r$)
2. FFE中的$x,y$应该满足$0\le x,y<p且(x,y)位于\text{ECC group}中$

当AP生成了自己的$rand，mask$之后, 它便集齐了计算$\mathbf{K}$(DH密钥协商的结果)所需的所有材料. AP会按照上文所提到的公式计算$\mathbf{K}$, 然后再进一步通过下面的公式派生 $\text{PMK, KCK}$

1. $\text{H}$是一个Hash函数, 或者说基于Hash实现的消息验证码生成函数
2. $k$ 是 $\mathbf{K}$ 的 $x$ 坐标
3. $\text{L}(kck\_and\_pmk,Q,256)$表示截取$kck\_and\_pmk$的$Q$到255位
4. $salt$一般是全0的字节序列, 它的长度取决于$\text{H}$
   

同时 AP 还会生成一个counter, $send\text{-}confirm$, 然后计算一个$confirm$

$\text{CN}$是一个Hash函数, 或者说是一个消息验证码生成函数

AP生成 Commit 帧

按照上文提到方法生成$commit\text{-}scalar$和$\text{COMMIT-ELEMENT}$发送给STA.

STA 处理AP 发送的 Commit帧

与AP端类似, STA要验证AP 的 scalar和FFE的合法性然后计算$\text{PMK, KCK}$

STA 也会根据同样的公式计算$confirm$. 需要注意的是与AP生成的$confirm$相比,1. $\text{CN}$参数中的 $commit\text{-}scalar,\mathbf{COMMIT}\text{-}\mathbf{ELEMENT}$与$peer\text{-}commit\text{-}scalar,\mathbf{peer}\text{-}\mathbf{COMMIT}\text{-}\mathbf{ELEMENT}$ 位置实际上是对调的, 所以 AP 的 $confirm$ 与 STA 的 $confirm$ 是不同的.

STA 发送confirm 帧

生成 $confirm$后, STA将它填入 Authentication confirm帧中发送给AP

AP 处理 STA 发送的confirm帧

AP 收到 confirm 帧后会根据下面公式计算一个$verifier$. 如果STA 输入的password是正确的, 那么STA所计算的$KCK$应该与AP一致, 那么此时AP 计算的$verifier$应该等于STA confirm帧中的$confirm$

如果 $verifier$ 不等于 STA confirm帧中的$confirm$, 那么认证失败. AP 会向STA 发送 confirm 帧, 其中 statu code应该设置为CHALLENGE_FAILURE(15), 不过一些AP此时会将statu code设置为REFUSED_REASON_UNSPECIFIED(1). 不过无所谓, 只要confirm 帧中的statu code 不是SUCCESS 都代表认证失败.

如果$verifier$ 不等于 STA confirm帧中的$confirm$, 那么认证成功, AP 向STA发送confirm 帧, 其中包含AP生成的$confirm,send\text{-}confirm$ 以及 status code SECCESS.

STA 处理 AP 发送的 confirm 帧

STA 同样会计算$verifier$来校验AP 发送的confirm 帧. 如果校验失败, 一般是发起deauthentication.

至此,便完成了一次 SAE authentication.