CCC SPAKE2+流程解析

1、SPAKE2+流程及SCP03通道介绍

SPAKE2+流程发生在CCC车主配对过程中的Phase2。

SPAKE2+流程为车辆和手机之间的数据交换建立了一个安全通道SCP03。

那这个SCP03通道是干啥的？

我们可以先简单的理解为：建立安全通道前，车辆和手机之间交互的APDU数据是明文，建立安全通道后，车辆和手机之间交互的APDU数据是密文。具体详细可参考文档《GPC_2.3_D_SCP03_v1.2_PublicRelease.pdf》，本文不展开详细描述。

该安全通道在整个RF复位期间保持为激活状态。即，虽然在车主配对过程中的某些步骤，NFC会关闭/重启，但该安全通道一直保持在激活状态。

那哪些情况下，这个安全通道会被关闭?

发生如下任意一种情况时，则该安全通道会被关闭：

1) 当发送成功的OP CONTROL FLOW命令(如Figure6-3中的步骤17)，

2) 或，当发送错误的OP CONTROL FLOW命令，

3) 或，当SPAKE2+流程（Figure6-4）由于任何异常导致的终止，

4) 或，当APDU命令解密错误

5) 或，当APDU命令中的MAC值是错误的。

当车辆尚未准备好进行车主配对时，应使用OP CONTROL FLOW中止并向用户提示情况，如preconditions for owner pairing not fulfilled （未满足车主配对的前提条件）。

2、CCC SPAKE2+流程

CCC标准中关于SPAKE2+流程如下图，下面详细讲解下这个SPAKE2+流程，主要讲解流程，对相关算法暂不做深入解析。

2.1、SPAKE2+流程详细解析

根据自己的理解，我将上面CCC的SPAKE2+流程，梳理成下图，接下来展开各部分的解析。

2.1.1 步骤1

步骤#1解析如下：

1) 车辆OEM服务器产生Salt, password；

2) 车辆OEM服务器计算L, w0；

3) 把password发送给手机（可通过网页或车辆OEM的App）

4) 发送Salt, L, w0给到车辆（通过车辆OEM专有链路）；

具体可参考下图Listing18-1:

2.1.2 步骤2

步骤#2解析如下：

1) 车辆产生随机数y；

2) 车辆计算Y = y * G +w0 * N；

3) 车辆通过SPAKE2+ Request Command发送salt，Y等参数给手机；

4) 手机产生随机数x；

5) 手机计算X =x × G + w0 × M；

6) 手机通过SPAKE2 Response发送X等参数给车辆；

该步骤中的1->3步骤，对应下图Listing 18-2

该步骤中的4->6步骤，对应下图Listing 18-3

2.1.3 步骤3

步骤#3解析如下：

1) 车辆计算Z，V，K，CK，SK，如下图Listing 18-4；

a) Z = y×(X-w0×M)

b) V = y×L

c) K = SHA-256(len(X) || X || len(Y) || Y || len(Z) || Z || len(V) || V || len(w0) || w0)

d) CK = [0:128]

e) SK = [128:128]

2) 手机计算Z，V，K，CK，SK，如下图Listing 18-5；

a) Z = x×(Y-w0×N)

b) V = w1×(Y-w0×N)

c) K = SHA-256(len(X) || X || len(Y) || Y || len(Z) || Z || len(V) || V || len(w0) || w0)

d) CK = [0:128]

e) SK = [128:128]

2.1.4 步骤4

步骤#4解析如下：

1) 车辆和手机分别计算各自的K1，K2，M1，M2；

a) K1=HKDF(CK, “ConfirmationKeys” || TLV 5Bh || TLV 5Ch, [0:128])

b) K2=HKDF(CK, “ConfirmationKeys” || TLV 5Bh || TLV 5Ch, [128:128])

c) M[1] = CMAC(K1, X)

d) M[2] = CMAC(K2, X)

2) 车辆通过SPAKE2+ Verify Command，将M[1]发送给手机；

3) 手机确认发送过来的M[1]是否与自身计算的M[1]相同，若相同则流程继续，否则异常退出；

4) 手机通过SPAKE2+ Verify Response，将M[2]发送给车辆；

5) 车辆确认发送过来的M[2]是否与自身计算的M[2]相同，若相同则流程继续，否则异常退出；

关于K1，K2的计算，详见下图Listing 18-6：

关于M1的计算，详见下图Listing 18-7：

关于M2的计算，详见下图Listing 18-8：

2.1.5 步骤5

步骤#5解析如下：

1) 车辆和手机分别计算各自的Kenc, Kmac, Krmac, LONG_TERM_SHARED_SECRET；

2) 若Flag_Kble_intro_Kble_oob_master_support==TRUE，则需额外输出 Kble_intro和Kble_oob_master ；

具体可参考下图Listing 18-9：

2.1.6 步骤6

步骤#6解析如下：

1) 前5个步骤完成后，则SPAKE2+流程已经完成，手机和车辆已完成SCP03通道的建立；

2) 之后手机和车辆交互的APDU则为密文交互；

3) 即，发送方会根据Kenc, Kmac, Krmac密钥，而接收方收到数据后再进行解密。

加密计算过程如下图Listing18-10和Listing18-11

3、总结

1) SPAKE2+流程发生在CCC车主配对过程中的Phase2。

2) SPAKE2+流程为车辆和手机之间的数据交换建立了一个安全通道SCP03。

3) 建立SCP03安全通道前，车辆和手机之间交互的APDU数据是明文，建立安全通道后，车辆和手机之间交互的APDU数据是密文。

4) SPAKE2+流程可拆解为如下步骤：

        a) 在车主配对流程中的Phase0，车辆OEM服务器发送Salt, L, w0给到车辆，把password发送给手机；

        b) 手机&车辆双方通过SPAKE2+ Request Command和SPAKE2+ Response交互Salt，Y，X等信息

        c) 手机&车辆双方各自计算Z,V,K,CK,SK等共享密钥信息

        d) 手机&车辆双方各自计算K1,K2,M1,M2等信息，通过SPAKE2+ Verify Command和SPAKE2+ Verify Response交互M[1], M[2]，并验证各自收到的信息是否正确

        e) 手机&车辆双方各自生成Syetem Keys，主要包含Kenc, Kmac, Krmac等信息。

        f) 至此完成SPAKE2+流程，建立SCP03安全通道，之后的APDU交互则为密文交互。即发送方会根据Kenc, Kmac, Krmac密钥, 对数据进行加密，然后发送；接收方收到数据后，再进行解密。