¿El tráfico de Bluetooth 4.0 está encriptado por defecto / diseño?

13

Me pregunto si el tráfico BLE (v4.0) está cifrado de forma predeterminada o por diseño, ¿o es simplemente opcional? Si es el primero, ¿se encripta el tráfico utilizando una clave derivada solo del pin de emparejamiento o también hay algún tipo de clave de sesión, como con WPA2? Si fuera el primero, ¿la clave de cifrado sería una clave a largo plazo que no parece tan segura?

EDIT:

Leí en Wikipedia que AES-128 es compatible y que chips como el CC2540 proporcionan aceleración de hardware, pero no está claro si el cifrado AES es una opción u obligatoria por diseño. IIRC, Bluetooth 2.1 ofrece un modo no seguro, por lo que el cifrado solo es opcional, pero me pregunto si lo mismo se aplica a BLE.

    
pregunta John M. 18.09.2015 - 12:10
fuente

1 respuesta

3

Leí ahora un poco en la especificación - Volumen 3, Parte H, Sección 3.5.1 Solicitud de emparejamiento y 3.5.2 Respuesta de emparejamiento.

El cifrado IMHO es obligatorio después de que los dispositivos se hayan emparejado, ya que el iniciador debe enviar un tamaño máximo de clave para ser utilizado:

  

Tamaño máximo de la clave de cifrado (1 octeto)

     

Este valor define el tamaño máximo de la clave de cifrado en octetos que el dispositivo   puede apoyar. El tamaño máximo de clave estará en el rango de 7 a 16 octetos.

Esto asegura mi comentario también, ya que el cifrado 2.1 es obligatorio.

Por lo tanto, no puede elegir un tamaño de clave de, digamos 0 de longitud, para emparejarse. No sé, sin embargo, si hay un modo ad-hoc disponible que permitiría el intercambio de datos no emparejados (pero no lo creo).

Tenga en cuenta que esto significa solo el flujo de datos cifrados. La autenticación es una cosa diferente. Por ejemplo, no puede verificar que se conecta al auricular Bluetooth correcto ya que no tiene pantalla ni teclado (aún puede leer la dirección MAC antes de confirmar, por ejemplo). Entonces, con algunos modos de emparejamiento, asumo que la autenticación está en un nivel de confianza bajo (por diseño).

En mi humilde opinión, ya que Bluetooth era un reemplazo de la comunicación serie / infrarroja al principio, siempre tenía problemas con la seguridad. Consideraría que es una buena función para algunos gadgets, pero no intercambiaría información confidencial (= no es igual a WiFi o LAN).

    
respondido por el flohack 01.10.2015 - 11:03
fuente

Lea otras preguntas en las etiquetas