Seguridad del Bluetooth
Hay dos tipos de Bluetooth en los dispositivos Apple: Bluetooth clásico y Bluetooth de baja energía (BLE). El modelo de seguridad del Bluetooth para ambas versiones incluye las siguientes funciones de seguridad distintivas:
Enlace: El proceso para crear una o más claves secretas compartidas.
Vinculación: El acto de almacenar las claves creadas durante el enlace para usarlas en conexiones posteriores y formar un par de dispositivos de confianza.
Autenticación: Verificar que los dos dispositivos tienen las mismas claves.
Encriptación: Confidencialidad del mensaje.
Integridad del mensaje: Protección frente a la falsificación del mensaje.
Enlace sencillo seguro: Protección frente a la intercepción pasiva y protección frente a los ataques con intermediarios.
Bluetooth 4.1 añadió la función de las conexiones seguras al transporte físico de Bluetooth clásico (BR/EDR).
Las funciones de seguridad para cada tipo de Bluetooth se indican a continuación.
Compatibilidad | Bluetooth clásico | Bluetooth de baja energía |
|---|---|---|
Enlace | Curva elíptica de P-256 | Algoritmos admitidos por la FIPS (AES-CMAC y curva elíptica de P‑256) |
Vinculación | Información de enlace almacenada en una ubicación segura en los dispositivos iOS, iPadOS, macOS, tvOS y watchOS | Información de enlace almacenada en una ubicación segura en los dispositivos iOS, iPadOS, macOS, tvOS y watchOS |
Autenticación | Algoritmos admitidos por la FIPS (HMAC-SHA256 y AES-CTR) | Algoritmos admitidos por la FIPS |
Encriptación | Criptografía AES-CCM realizada en el controlador | Criptografía AES-CCM realizada en el controlador |
Integridad del mensaje | AES-CCM para la integridad del mensaje | AES-CCM para la integridad del mensaje |
Enlace sencillo seguro: Protección frente a la intercepción pasiva | intercambio de claves efímeras de Diffie‑Hellman de curva elíptica (ECDHE): | Intercambio de claves de Diffie‑Hellman de curva elíptica (ECDHE) |
Enlace sencillo seguro: Protección frente a los ataques con intermediarios (MITM) | Dos métodos numéricos asistidos por el usuario: comparación numérica o introducción de la clave de paso | Dos métodos numéricos asistidos por el usuario: comparación numérica o introducción de la clave de paso Los enlaces requieren la respuesta de un usuario, incluidos todos los modos de enlace sin intermediarios |
Bluetooth 4.1 o posterior | iMac de finales de 2015 o posterior MacBook Pro de principios de 2015 o posterior | iOS 9 o posterior iPadOS 13.1 o posterior macOS 10.12 o posterior tvOS 9 o posterior watchOS 2.0 o posterior |
Bluetooth 4.2 o posterior | iPhone 6 o posterior | iOS 9 o posterior iPadOS 13.1 o posterior macOS 10.12 o posterior tvOS 9 o posterior watchOS 2.0 o posterior |
Privacidad del Bluetooth de baja energía
Para ayudar a proteger la privacidad del usuario, BLE incluye las dos funciones siguientes: la aleatorización de la dirección y la derivación de claves entre transportes.
La aleatorización de la dirección es una función que reduce la capacidad de seguir un dispositivo BLE durante un tiempo al cambiar con frecuencia la dirección del dispositivo Bluetooth. Para que un dispositivo que usa la función de privacidad se vuelva a conectar a dispositivos conocidos, el otro dispositivo debe poder resolver la dirección del dispositivo (que se conoce como la dirección privada). La dirección privada se genera usando la clave de resolución de identidad del dispositivo intercambiada durante el proceso de enlace.
iOS 13 o posterior y iPadOS 13.1 o posterior tienen la capacidad de obtener claves de enlace entre transportes, una función que se conoce como derivación de claves entre transportes. Por ejemplo, una clave de enlace generada con BLE se puede usar para derivar una clave de enlace de Bluetooth clásico. Además, Apple añadió Bluetooth clásico a la compatibilidad con BLE para los dispositivos que admiten la función de las conexiones seguras introducida en Bluetooth Core Specification 4.1 (consulta Bluetooth Core Specification 5.1).