Jeg spekulerer på, om BLE (v4.0) -trafikken er krypteret som standard eller ved design, eller er den bare valgfri? Hvis førstnævnte, er trafikken krypteret ved hjælp af en nøgle, der kun stammer fra parringsnålen, eller er der også en slags sessionsnøgle – ligesom med WPA2? Hvis førstnævnte, ville krypteringsnøglen være en langvarig nøgle, hvilken synes ikke så sikker?
EDIT:
Jeg læste på Wikipedia, at AES-128 understøttes, og chips som CC2540 giver hardwareacceleration, men det er ikke klart, om AES-kryptering er en mulighed eller obligatorisk af design. IIRC, Bluetooth 2.1 tilbyder en ikke-sikker tilstand, så kryptering er kun valgfri, men jeg spekulerer på, om det samme gælder BLE.
Kommentarer
- OK , Det er jeg ked af. Jeg skal tilføje, at IIRC, Bluetooth 2.1 tilbyder en ikke-sikker tilstand, så kryptering er kun valgfri. Det ' er ikke så klart for mig, om det ' er den samme sag med BLE nu.
- Er du jo da? Fra Wikipedia ( da.wikipedia.org/wiki/Bluetooth#Security_concerns ) – Bluetooth v2.1 adresserer dette på følgende måder: Kryptering er påkrævet for alle ikke- SDP-forbindelser (Service Discovery Protocol) – så jeg antager, at det også er obligatorisk for alle efterfølgende versioner
- Mike Ryan har de svar, du søger: )
Svar
Jeg læste nu lidt i specifikation – Volumen 3, del H, afsnit 3.5.1 Parringsanmodning og 3.5.2 Parringsrespons.
IMHO-kryptering er obligatorisk, når enheder er parret, da initiatoren skal sende et maksimum nøglestørrelse, der skal bruges:
Maksimal krypteringsnøglestørrelse (1 oktet)
Denne værdi definerer den maksimale krypteringsnøglestørrelse i oktetter som enheden kan understøtte. Den maksimale nøglestørrelse skal være i intervallet 7 til 16 oktetter.
Dette sikrer også min kommentar, at da 2.1-kryptering er obligatorisk.
Så du kan ikke vælge en nøglestørrelse på lad os sige 0 længde for at blive parret. Jeg ved dog ikke, om der er en ad-hoc-tilstand tilgængelig, som tillader ikke-parret dataudveksling (men jeg tror ikke det).
Bemærk, at dette kun betyder krypteret datastrøm. Godkendelse er en anden ting. For eksempel kan du ikke bekræfte, at du opretter forbindelse til det rigtige Bluetooth-headset, da det ikke har nogen skærm eller tastatur (stadig kan du læse det er MAC-adresse, før du bekræfter f.eks.). Så med nogle parringstilstande vil jeg antage, at godkendelse er på et lavt tillidsniveau (efter design).
IMHO da Bluetooth var en erstatning for seriel / infrarød kommunikation i starten, kæmpede det altid med sikkerhed. Jeg ville betragte det som en god funktion til nogle gadgets, men udveksler ikke følsomme oplysninger (= det svarer ikke til WiFi eller LAN).
Kommentarer
- Hvorfor er Bluetooth stadig ikke ' t så sikker som WiFi?
- IMHO sine forskellige anvendelsesområder: Bluetooth blev primært lavet som en trådløs udskiftning af kabel s til små " dumme " enheder. På tidspunktet for oprettelsen af standarden kunne for eksempel ingen forudse smarttelefonfunktioner. Du skal bruge det til frihed for mus og tastaturer, til et trådløst headset osv. Måske er bilsæt også ok. Husk, for disse enheder er det vigtigt at spare energi, da de fleste af dem kører på batterier. Høj sikkerhed ville kræve mere kraftfuld hardware, der suger mere energi. Det ´ er sådan. Det er imidlertid ikke beregnet til at være et middel til udskiftning af LAN / WiFi.
- Selvfølgelig er det en ønskelig funktion at sende alt, hvad du skriver på dit bluetooth-tastatur over radio i det klare (sagde han sarkastisk). li>