Mi chiedo se il traffico BLE (v4.0) sia crittografato per impostazione predefinita o in base alla progettazione, o è solo opzionale? Nel primo caso, il traffico è crittografato utilizzando una chiave derivata solo dal pin di accoppiamento o esiste anche un qualche tipo di chiave di sessione, come con WPA2? Nel primo caso, la chiave di crittografia sarebbe una chiave a lungo termine, quale “non sembra così sicura?
EDIT:
Ho letto su Wikipedia che AES-128 è supportato e chip come il CC2540 fornisce laccelerazione hardware, ma non è chiaro se la crittografia AES sia unopzione o sia obbligatoria per progettazione. IIRC, Bluetooth 2.1 offre una modalità non sicura quindi la crittografia è solo facoltativa, ma mi chiedo se lo stesso vale per BLE.
Commenti
- OK , mi dispiace per questo. Devo aggiungere che, IIRC, Bluetooth 2.1 offre una modalità non sicura quindi la crittografia è solo opzionale. ' non mi è così chiaro se ' è lo stesso caso con BLE adesso.
- Sei tu sicuro? Da Wikipedia ( en.wikipedia.org/wiki/Bluetooth#Security_concerns ) – Bluetooth v2.1 risolve questo problema nei seguenti modi: La crittografia è richiesta per tutti i non- Connessioni SDP (Service Discovery Protocol), quindi presumo che anche per tutte le versioni successive sia obbligatorio
- Mike Ryan ha le risposte che cerchi: )
Risposta
Ho letto ora un po nella specifica – Volume 3, Parte H, Sezione 3.5.1 Richiesta di accoppiamento e 3.5.2 Risposta di accoppiamento.
La crittografia IMHO è obbligatoria dopo che i dispositivi sono stati accoppiati, poiché liniziatore deve inviare un massimo dimensione della chiave da utilizzare:
Dimensione massima della chiave di crittografia (1 ottetto)
Questo valore definisce la dimensione massima della chiave di crittografia in ottetti che il dispositivo può supportare. La dimensione massima della chiave deve essere compresa tra 7 e 16 ottetti.
Ciò garantisce anche il mio commento che, poiché la crittografia 2.1 è obbligatoria.
Quindi non è possibile scegliere una dimensione della chiave, diciamo di lunghezza 0, per essere accoppiati. Tuttavia, non so se è disponibile una modalità ad hoc che consentirebbe lo scambio di dati non accoppiati (ma non ci credo).
Tieni presente che questo significa solo flusso di dati crittografato. Autenticazione è una cosa diversa. Ad esempio, non puoi verificare di connetterti allauricolare Bluetooth corretto poiché non ha display o tastiera (potresti comunque leggere il suo indirizzo MAC prima di confermare, ad esempio). Quindi con alcune modalità di accoppiamento lo farei presumere che lautenticazione sia a un livello di fiducia basso (in base alla progettazione).
IMHO poiché il Bluetooth era un sostituto della comunicazione seriale / a infrarossi allinizio, ha sempre lottato con la sicurezza. Lo considererei una bella funzionalità per alcuni gadget, ma non scambieranno informazioni sensibili (= non è uguale a WiFi o LAN).
Commenti
- Perché il Bluetooth non è ancora ' t sicuro come il WiFi?
- IMHO i suoi diversi campi di applicazione: il Bluetooth è stato realizzato principalmente come una sostituzione wireless del cavo per piccoli dispositivi " stupidi ". Al momento della creazione dello standard nessuno poteva prevedere, ad esempio, le funzionalità degli smartphone. Dovresti usarlo per la libertà di mouse e tastiere, per un auricolare wireless ecc. Forse anche i kit per auto vanno bene. Tieni presente che per questi dispositivi è essenziale risparmiare energia poiché la maggior parte di essi funziona a batterie. Una sicurezza elevata richiederebbe un hardware più potente che assorba più energia. ´ è così. Tuttavia non è inteso come un mezzo per sostituire LAN / WiFi.
- Ovviamente, trasmettere in chiaro tutto ciò che digiti sulla tua tastiera bluetooth via radio è una caratteristica desiderabile (disse sarcasticamente).