Bluetooth-suojaus
Applen laitteissa on kahdentyyppisiä Bluetootheja: Bluetooth Classic ja Bluetooth Low Energy (BLE). Molempien versioiden Bluetooth-suojausmalli sisältää seuraavat eri suojausominaisuudet:
Parinmuodostus: Yhden tai useamman jaetun salaisuusavaimen luontiprosessi
Yhdistäminen: Parinmuodostuksen aikana luotujen avainten säilyttäminen käytettäväksi seuraavissa yhteyksissä luotetun laiteparin muodostamista varten
Todentaminen: Sen varmistaminen, että kahdella laitteella on samat avaimet
Salaaminen: Viestin luottamuksellisuus
Viestin eheys: Suojaaminen viestien väärentämiseltä
SSP (Secure Simple Pairing): Suojaaminen passiiviselta salakuuntelulta ja suojaaminen man in the middle ‑hyökkäyksiltä
Bluetoothin versio 4.1 lisäsi Secure Connections -ominaisuuden Bluetooth Classicin fyysiseen BR/EDR-siirtoon.
Jokaisen Bluetooth-tyypin suojausominaisuuksia ovat alla olevat.
Tuki | Bluetooth Classic | Bluetooth Low Energy |
|---|---|---|
Parinmuodostus | P-256 elliptinen käyrä | FIPS-hyväksytyt algoritmit (AES-CMAC ja P-256 elliptinen käyrä) |
Yhdistäminen | Parinmuodostustiedot tallennetaan suojattuun sijaintiin iOS-, iPadOS-, macOS-, tvOS- ja watchOS-laitteissa | Parinmuodostustiedot tallennetaan suojattuun sijaintiin iOS-, iPadOS-, macOS-, tvOS- ja watchOS-laitteissa |
Todentaminen | FIPS-hyväksytyt algoritmit (HMAC-SHA256 ja AES-CTR) | FIPS-hyväksytyt algoritmit |
Salaaminen | Ohjaimessa suoritettava AES-CCM-salaus | Ohjaimessa suoritettava AES-CCM-salaus |
Viestin eheys | Viestin eheyteen käytettävä AES-CCM-salaus | Viestin eheyteen käytettävä AES-CCM-salaus |
SSP (Secure Simple Pairing): Suojaaminen passiiviselta salakuuntelulta | Elliptisen käyrän Diffie-Hellman ‑avaimenvaihto lyhytaikaisella avaimella (ECDHE) | Elliptisen käyrän Diffie-Hellman ‑avaimenvaihto (ECDHE) |
SSP (Secure Simple Pairing): Suojaaminen MITM-hyökkäyksiltä (man-in-the-middle) | Kaksi käyttäjän avustamaa numeromenetelmää: numerovertailu tai pääsyavaimen syöttö | Kaksi käyttäjän avustamaa numeromenetelmää: numerovertailu tai pääsyavaimen syöttö Parinmuodostukset vaativat käyttäjän vastauksen, mukaan lukien kaikki ei-MITM-parinmuodostustilat |
Bluetooth 4.1 tai uudempi | iMac (loppuvuosi 2015 tai uudempi) MacBook Pro (alkuvuosi 2015 tai uudempi) | iOS 9 tai uudempi iPadOS 13.1 tai uudempi macOS 10.12 tai uudempi tvOS 9 tai uudempi watchOS 2.0 tai uudempi |
Bluetooth 4.2 tai uudempi | iPhone 6 tai uudempi | iOS 9 tai uudempi iPadOS 13.1 tai uudempi macOS 10.12 tai uudempi tvOS 9 tai uudempi watchOS 2.0 tai uudempi |
Bluetooth Low Energyn yksityisyyden suoja
BLE:ssä on käyttäjän yksityisyyden suojaamista varten seuraavat kaksi ominaisuutta: osoitteen satunnaistaminen ja poikittaisen liikenteen avaimenluonti.
Osoitteen satunnaistaminen -ominaisuudella vähennetään BLE-laitteen seurantamahdollisuutta ajan myötä muuttamalla Bluetooth-laitteen osoitetta säännöllisesti. Jotta laite voi käyttää yksityisyysominaisuutta tunnettuihin laitteisiin uudelleenyhdistämiseen, laitteen osoitteen, jota kutsutaan yksityiseksi osoitteeksi, täytyy olla toisen laitteen ratkaistavissa. Yksityinen osoite luodaan käyttämällä laitteen identiteetin ratkaisevaa avainta (IRK), joka vaihdettiin parinmuodostuksen aikana.
iOS 13:ssa ja uudemmissa ja iPadOS 13.1:ssä ja uudemmissa on mahdollisuus johtaa linkkiavaimia siirtojen välillä ominaisuudella, jonka nimi on poikittaisen liikenteen avaimenluonti. Esimerkiksi BLE:llä luotua linkkiavainta voidaan käyttää Bluetooth Classic -linkkiavaimen johtamiseen. Lisäksi Apple lisäsi Bluetooth Classic to BLE -tuen Secured Connections -ominaisuutta tukeviin laitteisiin. Ominaisuus esiteltiin Bluetooth Core Specification -versiossa 4.1 (katso Bluetooth Core Specification 5.1).