Zastanawiam się, czy ruch BLE (v4.0) jest szyfrowany domyślnie czy zgodnie z projektem, czy też jest opcjonalny? Jeśli to pierwsze, to czy ruch jest szyfrowany za pomocą klucza pochodzącego tylko z pinu parującego, czy też istnieje jakiś klucz sesji – jak w przypadku WPA2? Jeśli to pierwsze, czy klucz szyfrowania byłby kluczem długoterminowym, który nie wydaje się tak bezpieczny?
EDYCJA:
Czytałem w Wikipedii, że AES-128 jest obsługiwany, a chipy takie jak CC2540 zapewniają akcelerację sprzętową, ale nie jest jasne, czy szyfrowanie AES jest opcją, czy też z założenia obowiązkowe. IIRC, Bluetooth 2.1 oferuje tryb niezabezpieczony, więc szyfrowanie jest opcjonalne, ale zastanawiam się, czy to samo dotyczy BLE.
Komentarze
- OK , przepraszam za to. Powinienem dodać, że IIRC, Bluetooth 2.1 oferuje tryb niezabezpieczony, więc szyfrowanie jest opcjonalne. ' nie jest dla mnie takie jasne, jeśli ' jest teraz tak samo z BLE.
- Czy jesteś pewnie? Z Wikipedii ( en.wikipedia.org/wiki/Bluetooth#Security_concerns ) – Bluetooth v2.1 rozwiązuje ten problem w następujący sposób: Szyfrowanie jest wymagane dla wszystkich Połączenia SDP (Service Discovery Protocol) – zakładam więc, że również dla wszystkich kolejnych wersji jest to obowiązkowe
- Mike Ryan ma odpowiedzi, których szukasz: )
Odpowiedź
Przeczytałem teraz trochę w specyfikacja – Tom 3, część H, rozdział 3.5.1 Żądanie parowania i 3.5.2 Odpowiedź na parowanie.
Szyfrowanie IMHO jest obowiązkowe po sparowaniu urządzeń, ponieważ inicjator musi wysłać maksymalnie rozmiar klucza do użycia:
Maksymalny rozmiar klucza szyfrowania (1 oktet)
Ta wartość określa maksymalny rozmiar klucza szyfrowania w oktetach które urządzenie może obsługiwać. Maksymalny rozmiar klucza powinien mieścić się w zakresie od 7 do 16 oktetów.
Zapewnia to również mój komentarz, że od wersji 2.1 szyfrowanie jest obowiązkowe.
Więc nie możesz wybrać rozmiaru klucza, powiedzmy 0 długości, aby uzyskać parę. Nie wiem jednak, czy dostępny jest tryb ad-hoc, który pozwoliłby na wymianę danych niezwiązanych z parą (ale nie wierzę w to).
Zauważ, że oznacza to tylko zaszyfrowany strumień danych. to co innego. Na przykład nie możesz sprawdzić, czy łączysz się z odpowiednim zestawem słuchawkowym Bluetooth, ponieważ nie ma on wyświetlacza ani klawiatury (nadal możesz odczytać jego adres MAC przed potwierdzeniem, np.). Tak więc w przypadku niektórych trybów parowania załóżmy, że uwierzytelnianie jest na niskim poziomie zaufania (z założenia).
IMHO jako że Bluetooth był na początku zamiennikiem komunikacji szeregowej / podczerwieni, zawsze borykał się z bezpieczeństwem. Uważam to za fajną funkcję dla niektóre gadżety, ale nie wymieniałyby poufnych informacji (= to nie jest równe WiFi ani LAN).
Komentarze
- Dlaczego Bluetooth nadal nie jest ' Czy jest tak bezpieczny jak Wi-Fi?
- IMHO to różne obszary zastosowania: Bluetooth powstał głównie jako bezprzewodowy zamiennik kabla s dla małych, " głupich " urządzeń. W momencie tworzenia standardu nikt nie mógł przewidzieć na przykład możliwości smartfona. Powinieneś go używać dla wolności myszy i klawiatur, do bezprzewodowego zestawu słuchawkowego itp. Może zestawy samochodowe też są w porządku. Należy pamiętać, że w przypadku tych urządzeń konieczne jest oszczędzanie energii, ponieważ większość z nich działa na baterie. Wysoki poziom bezpieczeństwa wymagałby mocniejszego sprzętu, który zasysa więcej energii. To ´ tak. Jednak nie jest to sposób na zastąpienie sieci LAN / WiFi.
- Oczywiście wyraźne transmitowanie wszystkiego, co piszesz na klawiaturze bluetooth przez radio, jest pożądaną funkcją (powiedział sarkastycznie).