Estaba leyendo el documento MIFARE DESFire EV1 y noté esto:
MIFARE DESFire EV1 y el dispositivo lector se muestran cifrados que poseen el mismo secreto que en especial significa la misma clave; este no solo confirma que ambas entidades pueden realizar Las operaciones entre sí pero también crean una clave de sesión que puede ser utilizado para mantener segura la ruta de comunicación adicional; como el nombre “Clave de sesión” indica implícitamente, cada vez que se realiza una nueva autenticación procedimiento se completa con éxito una nueva clave para más criptografía se generan operaciones
La parte no solo es fácil de lograr. En la forma más simple, 'servidor' puede lanzar un número aleatorio a la tarjeta, y la tarjeta puede responder con el hash del secreto + el número aleatorio.
La parte pero también , que es el establecimiento de una clave de sesión, es un poco ondulada a mano. Como ambas partes ya tienen un secreto común, ¿por qué necesita una clave de sesión y no solo usa el secreto común como clave de sesión?
Tenga en cuenta que esta pregunta no tiene nada que ver con sistemas de clave pública o cifrado asimétrico o firma digital. En este caso, ambas partes conocen el mismo secreto.