藍牙安全性
Apple 裝置具備兩種藍牙類型:傳統藍牙和低功耗藍牙(BLE)。兩種版本的藍牙安全性模式都包含以下不同的安全功能:
配對:建立一或多個共用秘密密鑰的程序
綁定:儲存配對期間所建立密鑰的作業,此密鑰用於後續的連線以成立受信任裝置配對
認證:驗證兩部裝置具有相同密鑰
加密:訊息保密性
訊息完整性:防止訊息偽造
安全簡易配對:防止被動竊聽及防禦中間人攻擊
藍牙 4.1 版將「安全連線」功能加入傳統藍牙(BR/EDR)實體傳輸。
以下列出各類型藍牙的安全功能。
支援 | 傳統藍牙 | 低功耗藍牙 |
|---|---|---|
配對 | P-256 橢圓曲線 | FIPS 核准的演算法(AES-CMAC 和 P-256 橢圓曲線) |
綁定 | 配對資訊儲存在 iOS、iPadOS、macOS、tvOS 和 watchOS 裝置中的安全位置 | 配對資訊儲存在 iOS、iPadOS、macOS、tvOS 和 watchOS 裝置中的安全位置 |
認證 | FIPS 核准的演算法(HMAC-SHA256 和 AES-CTR) | FIPS 核准的演算法 |
加密 | AES-CCM 加密編譯,在控制器中執行 | AES-CCM 加密編譯,在控制器中執行 |
訊息完整性 | AES-CCM 用於確保訊息完整性 | AES-CCM 用於確保訊息完整性 |
安全簡易配對:防止被動竊聽 | 橢圓曲線 Diffie-Hellman 交換(ECDHE) | |
安全簡易配對:防禦中間人(MITM)攻擊 | 兩種使用者協助的數值方式:數值比較或通行密鑰輸入 | 兩種使用者協助的數值方式:數值比較或通行密鑰輸入 進行配對需要使用者回應,包含所有非 MITM 配對模式在內 |
藍牙 4.1 或以上版本 | iMac 2015 年底或後續機型 MacBook Pro 2015 年初或後續機型 | iOS 9 或以上版本 iPadOS 13.1 或以上版本 macOS 10.12 或以上版本 tvOS 9 或以上版本 watchOS 2.0 或以上版本 |
藍牙 4.2 或以上版本 | iPhone 6 或後續機型 | iOS 9 或以上版本 iPadOS 13.1 或以上版本 macOS 10.12 或以上版本 tvOS 9 或以上版本 watchOS 2.0 或以上版本 |
低功耗藍牙隱私權
為了協助保護使用者的隱私,BLE 包含下列兩項功能:隨機位址和跨傳輸密鑰衍生。
隨機位址功能可藉由經常更改藍牙裝置位址,來減少在一段時間內追蹤 BLE 裝置的可行性。為了讓裝置使用隱私功能來重新連接已知裝置,裝置位址(稱為專用位址)必須能由其他裝置解析。需使用配對程序中交換的裝置的身分解析密鑰來產生專用位址。
iOS 13 或以上版本和 iPadOS 13.1 或以上版本可跨傳輸作業衍生連結密鑰,此功能稱為跨傳輸密鑰衍生.例如,透過 BLE 產生的連結密鑰可用來衍生傳統藍牙連結密鑰。此外,Apple 針對支援「安全連線」功能(藍牙核心規格 4.1 所推出)的裝置,將傳統藍牙加入 BLE 支援中(請參閱藍牙核心規格 5.1)。