Para obtener una descripción detallada, es mejor que consulte el RFC, como se sugirió anteriormente. Hay descripciones generales de simplificación, como esta imagen . Otra publicación útil podría ser this . El punto crucial que falta en su descripción es que la clave derivada de SSID y PSK se conoce como "Clave maestra de par en par". Esta no es la clave real que se utiliza para el cifrado. En su lugar, puede usarlo para calcular una clave de sesión secreta sin pasar la clave de sesión en el cable. Para eso se usan ANounce y SNounce. Luego, al enviar mensajes cifrados en los pasos 3 y 4 AP y la estación se comprueba que conocen el PMK.
Si comparte un secreto con alguien, siempre puede usar esto para autenticarse mutuamente y calcular una clave de sesión. Simplemente genere un número aleatorio de bits, envíelo a su compañero (cifrado con el secreto). El socio lo descifra, lo incrementa en uno y devuelve el mensaje (nuevamente, encriptado). Luego verifica que lo que recibió es lo que envió más uno.
Similar para generar una clave de sesión. Ambas partes generan un valor aleatorio, lo intercambian. La clave de sesión podría ser HMAC (random1 + random2 + secret). Incluso si un intruso sabe aleatoriamente1 + 2, no puede generar la clave porque no conoce el secreto.