Ich habe einen Mac Mini Ende 2014 mit macOS Sierra 10.12.5. Als ich es mit meiner Bluetooth-Tastatur gekoppelt habe, wurde ich nicht aufgefordert, eine Zahlenfolge einzugeben.
Wie validiert und sichert macOS Verbindungen zwischen Bluetooth-Tastaturen, ohne zur Eingabe eines Codes aufzufordern? Verwendet es nur Trust-on-First-Use? Ist es möglich, macOS zu zwingen, einen Kopplungscode zu verwenden?
Wie validiert und sichert macOS Verbindungen zwischen Bluetooth-Tastaturen, ohne zur Eingabe eines Codes aufzufordern?
Es ist nicht nur macOS – Ihre Tastatur ist auf Firmware-Ebene verbunden und verschlüsselt – wenn dies nicht der Fall wäre, könnten Sie keinen NVRAM-Reset durchführen, bevor das Betriebssystem geladen wird.
Sie benötigen jedoch keinen Code, da moderne Bluetooth-Tastaturen einen Authentifizierungsalgorithmus zum Koppeln und einen generierten Authentifizierungsschlüssel basierend auf öffentlichen Schlüsseln verwenden, um die Datenübertragungen zu sichern.
Verwendet es nur Trust-on-First-Use?
Nein. Es verifiziert seine Identität mit einem Algorithmus und generierten 128-Bit-Schlüsseln.
Ist es möglich, macOS zu zwingen, einen Kopplungscode zu verwenden?
Warum? Dies würde auf Paarungsmethoden vor 2009 zurückgehen. Dies wäre das Äquivalent zur Aktivierung gemeinsamer WEP-Schlüssel in modernen WiFi-Netzwerken.
Der von Ihnen beschriebene Vorgang zum Koppeln eines Bluetooth-Geräts (in Ihrem Beispiel eine Tastatur) verwendet eine alte Authentifizierungsmethode (Bluetooth 2.1) namens Simple Secure Pairing (SSP).
Grundsätzlich hat SSP 4 Assoziations-(Paarungs-)Modelle:
Das Wichtigste ist, dass SSP NICHT der Verschlüsselungsschlüssel ist; es ist lediglich der Pairing-Mechanismus, um sich gegenseitig zu identifizieren . Die Verschlüsselung erfolgt über einen öffentlichen Schlüssel. Der Code, den Sie eingeben, soll sicherstellen, dass es sich um das Gerät handelt, mit dem Sie sich verbinden möchten. Es ist nicht die Sicherheit.
Seit Bluetooth 3.0 (April 2009) verwenden Bluetooth-Geräte einen AMP-Schlüssel zur Authentifizierung, der den obigen Prozess automatisiert.
AMP-Schlüsselableitung Der AMP-Link-Schlüssel wird vom Bluetooth-Link-Schlüssel abgeleitet. Ein generischer AMP-Link-Schlüssel (GAMP_LK) wird vom AMP-Manager im Host-Stack generiert, wenn ein Bluetooth-Link-Schlüssel erstellt oder geändert wird
Authentifizierung
Das Authentifizierungsverfahren für Bluetooth-Geräte hat die Form eines Challenge-Response-Schemas. Jedes Gerät, das in einem Authentifizierungsverfahren entweder als Antragsteller oder Verifizierer interagiert. Der Antragsteller ist das Gerät, das versucht, seine Identität nachzuweisen, und der Verifizierer ist das Gerät, das die Identität des Antragstellers validiert. Das Challenge-Response-Protokoll validiert Geräte, indem es die Kenntnis eines geheimen Schlüssels – des Bluetooth-Verbindungsschlüssels – verifiziert.
Es gibt 4 Verschlüsselungsmodi
Bluetooth-Tastaturen mit Bluetooth 2.1 (Tastaturen ab 2009) und höher verschlüsseln ihren gesamten Datenverkehr.
Jahhein
Eric Pruitt
Jahhein