Je me demande si le trafic BLE (v4.0) est chiffré par défaut ou par conception, ou est-ce simplement facultatif? Dans le premier cas, le trafic est-il chiffré à laide dune clé dérivée uniquement de la broche de couplage ou existe-t-il également une sorte de clé de session – comme avec WPA2? Dans le premier cas, la clé de chiffrement serait-elle une clé à long terme, alors laquelle ne semble pas si sécurisée?
EDIT:
Jai lu sur Wikipédia que AES-128 est pris en charge et que des puces comme le CC2540 fournissent une accélération matérielle, mais il nest pas clair si le cryptage AES est une option ou est obligatoire par conception. IIRC, Bluetooth 2.1 offre un mode non sécurisé donc le cryptage nest que facultatif, mais je me demande si la même chose sapplique à BLE.
Commentaires
- OK , Désolé pour ça. Je dois ajouter que, IIRC, Bluetooth 2.1 offre un mode non sécurisé, donc le cryptage nest que facultatif. Il ' nest pas si clair pour moi si ' est le même cas avec BLE maintenant.
- Êtes-vous Bien sur? Depuis Wikipedia ( en.wikipedia.org/wiki/Bluetooth#Security_concerns ) – Bluetooth v2.1 résout ce problème de la manière suivante: Le chiffrement est requis pour tous les non- Connexions SDP (Service Discovery Protocol) – donc je suppose également que pour toutes les versions suivantes, il est obligatoire
- Mike Ryan a les réponses que vous cherchez: )
Réponse
Je lis maintenant un peu dans le spécification – Volume 3, Partie H, Section 3.5.1 Demande de couplage et 3.5.2 Réponse de couplage.
Le cryptage IMHO est obligatoire une fois que les appareils ont été couplés, car linitiateur doit envoyer un maximum taille de clé à utiliser:
Taille maximale de la clé de chiffrement (1 octet)
Cette valeur définit la taille maximale de la clé de chiffrement en octets que lappareil peut prendre en charge. La taille maximale de la clé doit être comprise entre 7 et 16 octets.
Ceci assure mon commentaire également que depuis le cryptage 2.1 est obligatoire.
Vous ne pouvez donc pas choisir une taille de clé de disons 0 longueur, afin dêtre apparié. Je ne sais cependant pas sil existe un mode ad hoc disponible qui permettrait un échange de données non appariées (mais je ne le crois pas).
Notez que cela signifie uniquement un flux de données crypté. Authentification est une chose différente. Par exemple, vous ne pouvez pas vérifier que vous vous connectez au bon casque Bluetooth car il na ni écran ni clavier (vous pouvez quand même lire son adresse MAC avant de confirmer, par exemple). Donc, avec certains modes de couplage, je le ferais supposons que lauthentification est à un niveau de confiance faible (par conception).
À mon humble avis, comme Bluetooth remplaçait la communication série / infrarouge au début, il a toujours eu des problèmes de sécurité. Je considérerais que cest une fonctionnalité intéressante pour certains gadgets, mais néchangeraient pas dinformations sensibles (= ce nest pas égal au WiFi ou au LAN).
Commentaires
- Comment se fait-il que Bluetooth ne soit toujours pas ' t aussi sécurisé que le WiFi?
- À mon humble avis, ses différents domaines dapplication: Bluetooth a été conçu principalement comme un remplacement sans fil du câble s pour les petits appareils " stupides ". Au moment de la création de la norme, personne ne pouvait prévoir les capacités des téléphones intelligents par exemple. Vous devriez lutiliser pour la liberté des souris et des claviers, pour un casque sans fil, etc. Peut-être que les kits de voiture conviennent également. Gardez à lesprit que pour ces appareils, il est essentiel déconomiser de lénergie car la plupart dentre eux fonctionnent sur piles. Une haute sécurité nécessiterait un matériel plus puissant qui aspire plus dénergie. Cest ´ comme ça. Cependant, il nest pas destiné à être un moyen de remplacement LAN / WiFi.
- Bien sûr, diffuser tout ce que vous tapez sur votre clavier Bluetooth par radio en clair est une fonctionnalité souhaitable (dit-il sarcastiquement).