Seguridad de Bluetooth
Hay dos tipos de Bluetooth en los dispositivos Apple: Bluetooth clásico y Bluetooth de baja energía (BLE). El modelo de seguridad de Bluetooth para ambas versiones incluye las siguientes funciones de seguridad distintivas:
Enlace: el proceso de crear una o más claves secretas
Vinculación: el acto de almacenar las claves creadas durante el enlace para usarlas en las conexiones siguientes, a fin de formar un par de dispositivos de confianza
Autenticación: verificar que los dos dispositivos tengan las mismas claves
Encriptación: confidencialidad de los mensajes
Integridad de los mensajes: protección contra la falsificación de mensajes
Enlace simple seguro: protección contra los ataques de interceptación pasiva y de intermediario
La versión 4.1 de Bluetooth agregó la función de conexiones seguras al transporte físico del Bluetooth clásico (BR/EDR).
Las funciones de seguridad para cada tipo de Bluetooth se mencionan a continuación.
Soporte | Bluetooth clásico | Bluetooth de baja energía |
|---|---|---|
Enlace | Curva elíptica P-256 | Algoritmos aprobados por FIPS (AES-CMAC y curva elíptica P-256) |
Vinculación | La información del enlace se almacena en un lugar seguro en los dispositivos iOS, iPadOS, macOS, tvOS y watchOS | La información del enlace se almacena en un lugar seguro en los dispositivos iOS, iPadOS, macOS, tvOS y watchOS |
Autenticación | Algoritmos aprobados por FIPS (HMAC-SHA-256 y AES-CTR) | Algoritmos aprobados por FIPS |
Encriptación | Criptografía AES-CCM (realizada en el controlador) | Criptografía AES-CCM (realizada en el controlador) |
Integridad de los mensajes | Se utiliza AES-CCM para la integridad de los mensajes | Se utiliza AES-CCM para la integridad de los mensajes |
Enlace simple seguro: protección contra la interceptación pasiva | Intercambio de claves efímeras con Diffie-Hellman de curva elíptica (ECDHE) | Intercambio Diffie-Hellman de curva elíptica (ECDHE) |
Enlace simple seguro: protección contra los ataques de intermediario (MITM) | Dos métodos numéricos asistidos por el usuario: comparación numérica o ingreso de la clave | Dos métodos numéricos asistidos por el usuario: comparación numérica o ingreso de la clave Los enlaces requieren la respuesta del usuario, incluidos todos los modos de enlace que no sean MITM |
Bluetooth 4.1 o versiones posteriores | iMac (finales de 2015) o modelos posteriores MacBook Pro (principios de 2015) o modelos posteriores | iOS 9 o versiones posteriores iPadOS 13.1 o versiones posteriores macOS 10.12 o versiones posteriores tvOS 9 o versiones posteriores watchOS 2.0 o versiones posteriores |
Bluetooth 4.2 o versiones posteriores | iPhone 6 o modelos posteriores | iOS 9 o versiones posteriores iPadOS 13.1 o versiones posteriores macOS 10.12 o versiones posteriores tvOS 9 o versiones posteriores watchOS 2.0 o versiones posteriores |
Privacidad de Bluetooth Low Energy
Para ayudar a asegurar la privacidad de los usuarios, BLE incluye las siguientes dos funciones: la aleatorización de direcciones y la derivación de claves a través de transportes.
La función de aleatorización reduce la capacidad para rastrear un dispositivo BLE durante un cierto periodo al cambiar frecuentemente la dirección del dispositivo Bluetooth. Para que un dispositivo que usa la función de privacidad se vuelva a conectar con los dispositivos conocidos, la dirección del dispositivo, llamada la dirección privada, debe poderse resolver en el otro dispositivo. La dirección privada se genera usando la clave de identidad de resolución del dispositivo que se intercambia durante el proceso de enlace.
Los sistemas iOS 13 o versiones posteriores y iPadOS 13.1 o versiones posteriores tienen la capacidad de derivar claves de enlace entre transportes, una función conocida como derivación de claves de transporte cruzado. Por ejemplo, una clave de enlace generada con BLE se puede usar para derivar una clave de enlace para Bluetooth clásico. Además, Apple agregó Bluetooth clásico a la compatibilidad con BLE para los dispositivos que son compatibles con la función de conexiones seguras introducida en Bluetooth Core Specification 4.1 (consulta Bluetooth Core Specification 5.1).