2. Bootstrap Key (自举密钥)
TLS-POK 依赖 EC Bootstrap Key (BSK). BSK 必须来自适合执行 ECDSA 的密码系统. BSK public key 必须编码为 RFC 5480 中 ASN.1 SEQUENCE SubjectPublicKeyInfo 的 DER 表示. subjectPublicKey 必须采用压缩公钥格式 (compressed public-key format), 且编码必须同时包含 AlgorithmIdentifier 和 subjectPublicKey.
TLS 服务器可以通过扫描包含 base64 DER SubjectPublicKeyInfo 的二维码 (QR code), 导入 Bill of Materials (BOM), 或使用其他可信的带外 (out-of-band) 机制来获知 BSK public key. BSK public key 不得在网络上自由可得.
2.1. 与 DPP 对齐 (Alignment with DPP)
BSK public-key 定义与 Wi-Fi Alliance Device Provisioning Profile (DPP) 对齐. 同时支持有线 LAN 和 Wi-Fi 的设备可以使用同一个二维码 (QR code): Wi-Fi 使用 DPP, 有线网络使用 TLS-POK. DPP, 因而 TLS-POK, 不支持 RSA 或后量子密码系统, 因为其 public key 过大, 不适合二维码模型.