Si el cliente y el AP tienen la clave maestra de Pairwise (PMK) disponible, ¿por qué necesitamos un protocolo de enlace de 4 vías nuevamente para obtener otra clave (PTK)? ¿Por qué no podemos utilizar PMK para un proceso de seguridad adicional?
La diferencia entre las dos claves es que la clave maestra (PMK) se supone que debe ser válida durante al menos mientras el cliente esté conectado. En el caso de WPA-PSK, el PMK es el mismo desde el momento en que se configura el AP hasta que se modifica la contraseña o el SSID. Por lo tanto, si el PMK está comprometido de alguna manera, el atacante obtiene acceso "permanente" a la red.
Para proteger el PMK, el protocolo deriva un par de claves transitorias (PTK y GTK) que se utilizan para cifrar las comunicaciones directamente. Estos pueden caducar y renegociarse varias veces en el curso de la conexión del cliente, y el compromiso de cualquiera de ellos no le otorga al atacante acceso permanente a la red. La próxima vez que el cliente se conecte, generará un nuevo par de claves transitorias a partir de valores aleatorios generados en el AP y el cliente, combinados con el PMK.
Lea otras preguntas en las etiquetas authentication cryptography wpa2 protocols