Me pregunto si el tráfico BLE (v4.0) está encriptado por defecto o por diseño, o es simplemente opcional. Si es lo primero, ¿el tráfico está encriptado usando una clave derivada solo del pin de emparejamiento o también hay algún tipo de clave de sesión, como con WPA2? Si es lo primero, ¿la clave de encriptación sería una clave a largo plazo, entonces cuál no parece tan segura?
EDIT:
Leí en Wikipedia que AES-128 es compatible y que chips como el CC2540 proporcionan aceleración por hardware, pero no está claro si el cifrado AES es una opción u obligatorio por diseño. IIRC, Bluetooth 2.1 ofrece un modo no seguro, por lo que el cifrado es solo opcional, pero me pregunto si lo mismo se aplica a BLE.
Comentarios
- OK , Lo siento por eso. Debo agregar que IIRC, Bluetooth 2.1 ofrece un modo no seguro, por lo que el cifrado es solo opcional. ' no es tan claro para mí si ' es el mismo caso con BLE ahora.
- ¿Por supuesto? De Wikipedia ( en.wikipedia.org/wiki/Bluetooth#Security_concerns ) – Bluetooth v2.1 aborda esto de las siguientes maneras: se requiere cifrado para Conexiones SDP (Service Discovery Protocol), por lo que supongo que también para todas las versiones posteriores es obligatorio
- Mike Ryan tiene las respuestas que busca: )
Responder
Leí ahora un poco en especificación – Volumen 3, Parte H, Sección 3.5.1 Solicitud de emparejamiento y 3.5.2 Respuesta de emparejamiento.
En mi humilde opinión, el cifrado es obligatorio después de que los dispositivos se han emparejado, ya que el iniciador debe enviar un máximo tamaño de clave que se utilizará:
Tamaño máximo de clave de cifrado (1 octeto)
Este valor define el tamaño máximo de clave de cifrado en octetos que el dispositivo puede soportar. El tamaño máximo de la clave debe estar en el rango de 7 a 16 octetos.
Esto asegura mi comentario también que desde 2.1 el cifrado es obligatorio.
Por lo tanto, no puede elegir un tamaño de clave de, digamos, 0 de longitud, para emparejarse. Sin embargo, no sé si hay un modo ad-hoc disponible que permita el intercambio de datos no emparejados (pero no lo creo).
Tenga en cuenta que esto significa solo flujo de datos cifrados. Autenticación es una cosa diferente. Por ejemplo, no puedes verificar que te conectas al auricular Bluetooth correcto ya que no tiene pantalla ni teclado (aún puedes leer su dirección MAC antes de confirmar, por ejemplo). Así que con algunos modos de emparejamiento Supongamos que la autenticación está en un nivel de confianza bajo (por diseño).
En mi humilde opinión, ya que Bluetooth fue un reemplazo para la comunicación serial / infrarroja al principio, siempre tuvo problemas con la seguridad. Lo consideraría una buena característica para algunos gadgets, pero no intercambiarían información confidencial (= no es igual a WiFi o LAN).
Comentarios
- ¿Por qué Bluetooth todavía no ' ¿Es tan seguro como WiFi?
- En mi humilde opinión, sus diferentes campos de aplicación: Bluetooth se hizo principalmente como un reemplazo inalámbrico del cable s para dispositivos pequeños " estúpidos ". En el momento de la creación del estándar, nadie podía prever, por ejemplo, las capacidades de los teléfonos inteligentes. Debería usarlo para la libertad de ratones y teclados, para auriculares inalámbricos, etc. Quizás los kits para automóvil también estén bien. Tenga en cuenta que para estos dispositivos es fundamental ahorrar energía, ya que la mayoría de ellos funcionan con baterías. La alta seguridad necesitaría un hardware más potente que absorba más energía. Es ´ así. Sin embargo, no pretende ser un medio de reemplazo de LAN / WiFi.
- Por supuesto, transmitir todo lo que escribe en su teclado bluetooth a través de la radio es una característica deseable (dijo sarcásticamente).