Ik vraag me af of het BLE (v4.0) -verkeer standaard of ontworpen is, of is het gewoon optioneel? Als het eerste het geval is, wordt het verkeer dan versleuteld met een sleutel die alleen is afgeleid van de koppelingspin of is er ook een soort sessiesleutel, zoals bij WPA2? Als het eerste het geval is, zou de coderingssleutel dan een langetermijnsleutel zijn, welke is dan “niet zo veilig?
EDIT:
Ik las op Wikipedia dat AES-128 wordt ondersteund, en chips zoals de CC2540 zorgen voor hardwareversnelling, maar het is niet duidelijk of AES-encryptie een optie is of per definitie verplicht is. IIRC, Bluetooth 2.1 biedt een niet-beveiligde modus, dus codering is alleen optioneel, maar ik vraag me af of hetzelfde geldt voor BLE.
Opmerkingen
- OK , Sorry daarvoor. Ik moet hieraan toevoegen dat IIRC, Bluetooth 2.1 een niet-beveiligde modus biedt, dus codering is alleen optioneel. Het ' is mij niet zo duidelijk als het ' nu hetzelfde geval is met BLE.
- Bent u zeker? Van Wikipedia ( en.wikipedia.org/wiki/Bluetooth#Security_concerns ) – Bluetooth v2.1 lost dit op de volgende manieren op: Versleuteling is vereist voor alle niet- SDP-verbindingen (Service Discovery Protocol) – dus ik neem aan dat het ook voor alle volgende versies verplicht is
- Mike Ryan heeft de antwoorden die u zoekt: )
Antwoord
Ik lees nu een beetje in de specificatie – Deel 3, deel H, sectie 3.5.1 Koppelingsverzoek en 3.5.2 Koppelingsreactie.
IMHO-codering is verplicht nadat apparaten zijn gekoppeld, aangezien de initiator een maximum te gebruiken sleutelgrootte:
Maximale grootte coderingssleutel (1 octet)
Deze waarde definieert de maximale grootte van de coderingssleutel in octetten die het apparaat kan ondersteunen. De maximale sleutelgrootte ligt tussen 7 en 16 octetten.
Dit verzekert mijn opmerking ook dat sinds 2.1 codering verplicht is.
Je kunt dus geen sleutelgrootte kiezen van laten we zeggen 0 lengte, om te paren. Ik weet echter niet of er een ad-hocmodus beschikbaar is die niet-gekoppelde gegevensuitwisseling mogelijk maakt (maar ik geloof dit niet).
Merk op dat dit alleen een gecodeerde gegevensstroom betekent. Authenticatie is iets anders. Je kunt bijvoorbeeld niet verifiëren of je verbinding hebt gemaakt met de juiste Bluetooth-headset, omdat deze geen display of toetsenbord heeft (je zou het MAC-adres kunnen lezen voordat je bevestigt, bijvoorbeeld). Dus met sommige koppelingsmodi zou ik neem aan dat authenticatie op een laag vertrouwensniveau is (door het ontwerp).
Omdat Bluetooth in het begin een vervanging was voor seriële / infraroodcommunicatie, worstelde het altijd met beveiliging. Ik zou het een leuke functie vinden voor sommige gadgets, maar zouden geen gevoelige informatie uitwisselen (= het is niet gelijk aan wifi of LAN).
Opmerkingen
- Waarom is Bluetooth nog steeds niet ' t zo veilig als wifi?
- IMHO zijn verschillende toepassingsgebieden: Bluetooth is voornamelijk gemaakt als een draadloze vervanging van kabel s voor kleine, " stomme " apparaten. Op het moment dat de standaard werd gemaakt, kon niemand bijvoorbeeld de mogelijkheden van smartphones voorzien. Je zou het moeten gebruiken voor vrijheid van muizen en toetsenborden, voor een draadloze koptelefoon etc. Misschien zijn carkits ook oké. Houd er rekening mee dat het voor deze apparaten essentieel is om energie te besparen, aangezien de meeste op batterijen werken. Voor een hoge beveiliging is krachtigere hardware nodig die meer energie opzuigt. Het ´ is zo. Het is echter niet bedoeld als een manier om LAN / WiFi te vervangen.
- Natuurlijk is het een wenselijke functie om alles wat je op je bluetooth-toetsenbord typt duidelijk over de radio uit te zenden (zei hij sarcastisch).