(高清版)GB∕T 38648-2020 信息安全技術 藍牙安全指南

2020-04-28發(fā)布2020-11-01實施國家標準化管理委員會國家市場監(jiān)督管理總局發(fā)布國家標準化管理委員會Ⅰ 1范圍 2規(guī)范性引用文件 3術語和定義 4縮略語 5概述 6安全建議 附錄A（資料性附錄）藍牙安全機制 附錄B（資料性附錄）藍牙漏洞與威脅 參考文獻 Ⅲ本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。本標準由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本標準起草單位：中國科學院大學、西安電子科技大學、南京理工大學。本標準主要起草人：張玉清、王基策、何遠、李意蓮、楊毅宇、黃庭培、趙尚儒、馮翰滔、姚堯、王文杰、王鶴、付安民、伍高飛、李學俊。1信息安全技術藍牙安全指南本標準給出了藍牙安全建議。本標準適用于藍牙5.0以下版本（含藍牙5.0),可對藍牙設備的設計、開發(fā)、測試、使用提供指導。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2010信息安全技術術語3術語和定義GB/T25069—2010界定的以及下列術語和定義適用于本文件。3.1一種采用射頻方式在近距離使用電子信息設備交換信息的無線接口技術。3.2使用藍牙技術將各種形式的藍牙設備相互連接構成的無線網(wǎng)絡。4縮略語下列縮略語適用于本文件。MITM：中間人(ManintheMiddle)PIN：個人識別碼(PersonalIdentificationNumber)5概述牙4.0版本引入LE,保持最高傳輸速率的同時降低了能耗。藍牙4.0至5.0版本均支持BR、EDR、HS和LE四種類型。藍牙安全機制參見附錄A。BR、EDR、HS支持四種安全模式，LE支持兩種安全模式。其中，BR、EDR、HS的安全模式4支持五種服務安全級別，LE的安全模式1支持四種加密級別，LE的安全模式2支持兩種數(shù)據(jù)簽名級別。藍牙典型的安全漏洞和面臨的威脅參見附錄B。6安全建議在部署和維護藍牙網(wǎng)絡時宜關注以下事項，包括但不限于：當采用藍牙交換信息時，密鑰配置宜關注以下事項，包括但不限于：一的口令；配置藍牙的通信模式時宜重點關注以下事項，包括但不限于：2全模式1級別3；攻擊。6.2.3連接及鏈路配置配置藍牙的連接及通信鏈路時宜關注以下事項，包括但不限于：風險。加入藍牙網(wǎng)絡的用戶在進行信息交換等操作時宜重點關注以下事項，包括但不限于：34（資料性附錄）藍牙安全機制藍牙技術提供了身份鑒別、保密、授權、消息完整性、配對五種基本的安全服務。藍牙BR、EDR和HS定義了四類安全模式，安全模式?jīng)Q定了藍牙設備何時啟用安全服務，藍牙設備工作于其中一類模式下。四類安全模式定義如下：備支持安全模式1,藍牙2.1以上版本（含藍牙2.1)的設備可以使用安全模式1向下兼容之前版本的設備。本地安全管理器控制對特定服務的訪問。本地安全管理器通過授權功能，決定一個設備是否被允許獲得一項特定權限。在本地安全管理器中實現(xiàn)認證和加密機制。藍牙2.0以下版本（含藍牙2.0)的設備支持安全模式2,藍牙2.1以上版本（含藍牙2.1)的設備可以使用安全模式2向下兼容之前版本的設備。入設備進行驗證和加密。一旦設備通過驗證后通常不會再執(zhí)行服務級的授權。藍牙2.0以下版本（含藍牙2.0)的設備支持安全模式3,藍牙2.1以上版本（含藍牙2.1)的設備可以使用安全模式3向下兼容之前版本的設備。d啟動。使用SSP策略，在連接密鑰生成時用橢圓曲線ECDH密鑰協(xié)議取代傳統(tǒng)的密鑰協(xié)商協(xié)議，設備認證和加密算法與藍牙2.0及早期版本中的算法相同。是否進行鏈路密鑰驗證取決于使用的SSP關聯(lián)模型。安全模式4需要加密所有服務。為了兼容，當與藍牙2.0以下版本（含藍牙2.0)不支持安全模式4的設備通信時，安全模式4的設備可以回落到任何其他三種安全模式之一。安全模式4下的服務又可以分為五種安全級別：級別0和級別1都沒有任何安全要求，區(qū)別在于級別0只適用于SDP協(xié)議；級別2要求未認證的鏈路密鑰；級別3要求已認證的鏈路密鑰；級別4要求已認證的鏈路密鑰并使用安全連接。藍牙LE旨在支持計算和存儲受限的設備，其安全性與BR、EDR和HS不同。另外，LE還引入了諸如私有設備地址和數(shù)據(jù)簽名等功能，分別由新的加密密鑰—IRK和CSRK來支持這些功能。這些密鑰(LTK、IRK、CSRK)在LE配對期間生成并安全分發(fā)。LE安全模式類似于BR、EDR和HS的服務級安全模式，每個服務可以有自己的安全要求。而且，LE還規(guī)定，每個服務請求也可以有自己的安全要求。LE安全模式1和安全模式2的定義如下：5認證；級別3使用加密和配對認證；藍牙4.2以上版本（含藍牙4.2)添加了級別4,級別4使用特定加密算法進行加密和配對認證。有兩種數(shù)據(jù)簽名級別，其中級別1使用數(shù)據(jù)簽名、不使用配對認證；級別2使用數(shù)據(jù)簽名和配對認證。如果不同的服務具有不同的安全模式或級別，則使用較強的安全要求。LE安全模式1級別4的安全性最高，安全模式1級別1的安全性最低。由于安全模式2不提供加密，安全模式1級別3和級別4優(yōu)于安全模式2。對于4.2以上版本（含藍牙4.2),建議使用安全模式1級別4。對于4.2以下版本，建議使用安全模式1級別3。6（資料性附錄）藍牙漏洞與威脅表B.1給出了藍牙主要的安全漏洞信息、漏洞影響的版本以及可采取的安全建議。表犅.1藍牙主要安全漏洞序號安全漏洞說明影響的版本安全建議章條號1基于單元密鑰的鏈路密鑰是固定的，在每次配對中重復使用使用單元密鑰的設備在同其他設備配對時使用相同的鏈路密鑰。這是一個嚴重的加密密鑰管理漏洞2使用基于單元密鑰的鏈路密鑰可能導致竊聽和欺騙當設備的單元密鑰泄露后（即在它第一次配對時那么具有該密鑰的其他設備都可以欺騙該設備或者任何與該設備配對過的設備。此外，不管設備鏈路是否加密，該設備的鏈路都可被竊聽3安全模式1的設備不會初始化安全策略使用安全模式1的設備是不安全的。對于藍牙2.0及以下版本（含藍牙2.0)的設備，推薦使用安全模式32.04使用較短的PIN在配對過程中PIN用來保護鏈路密鑰，但較短的PIN可被輕易破解2.05缺乏PIN管理在用戶眾多的藍牙網(wǎng)絡中產(chǎn)生充足的PIN是困難的。PIN的擴展經(jīng)常導致安全問題產(chǎn)生。建議由配對設備中的隨機數(shù)產(chǎn)生器生成PIN2.06加密密鑰在使用使用在E0加密算法中，加密密鑰流由鏈路密鑰、ENRAND、主設備BDADDR和時鐘決定。在一個特定的加密鏈接中只有發(fā)起連接的主設備的時鐘才會改變。如果一個鏈接持生成的密鑰將和早期連接中使用的密鑰相同。重復密鑰是一種嚴重的加密漏洞，攻擊者可以據(jù)此定義出明文2.07序號安全漏洞說明影響的版本安全建議章條號7JustWorks模式在配對時不提供MITM攻擊防護，會產(chǎn)生未驗證的鏈路密鑰BR或EDR設備在SSP過程中，需要拒絕使用由JustWorks配對產(chǎn)生的未驗證的鏈路密鑰來防護MITM攻擊3.04.04.25.08在SSP過程中使用的ECDH密鑰對是固定密鑰對或弱密鑰對弱ECDH密鑰對削弱了SSP的竊聽保護，使攻擊者容易獲得鏈路密鑰。設備應該擁有唯一并定期更新的強ECDH密鑰對3.04.04.25.09固定的SSP密鑰容易造成MITM攻擊設備應在每次配對時使用隨機且唯一的密鑰，降低在SSP過程中受到MITM攻擊的風險3.04.04.25.0支持安全模式4的設備（藍牙2.1及以上版本）可以降低自己的安全模式與不支持安全模式4的設備（藍牙2.0及以下版本）進行連接最差情況下，設備將降低到安全模式1,即沒有安全保護。建議支持安全模式4的設備只降低到安全模式33.04.04.25.0可重復身份驗證為防止無限制的請求，需要將限制功能納入規(guī)范。藍牙協(xié)議通常要求連續(xù)重復請求間隔一段時間，該時間隨著重復請求次數(shù)指數(shù)增長。但是它沒有規(guī)定認證挑戰(zhàn)請求之間的等待時間間隔，所以攻擊者可以收集大量的挑戰(zhàn)響應（使用秘密鏈路密鑰加密過從而可以收集鏈路密鑰的信息1.22.03.04.04.25.0藍牙網(wǎng)絡中的設備共享廣播加密的主密鑰密鑰由多方共享可導致偽裝攻擊2.03.0序號安全漏洞說明影響的版本安全建議章條號藍牙BR或EDR加密使用的E0流密碼算法易被破解使用藍牙LE中要求的主流加密算法1.22.03.04.0在藍牙BR或EDR中，與特定用戶關聯(lián)的BD__ADDR被捕獲可能會導致隱私泄露當BD_ADDR關聯(lián)到一個特定的用戶，該用戶的行為和地址可被跟蹤2.03.0在藍牙LE中，與特定用戶關聯(lián)的BD__ADDR被捕獲可能會導致隱私泄露在藍牙LE中，可以通過實施地址隱私來減少這種風險4.04.25.0設備認證采用簡單的單向挑戰(zhàn)／響應密鑰單向的挑戰(zhàn)／響應身份驗證會受到MITM攻擊。藍牙提供雙向驗證，用于驗證設備是否合法2.03.0藍牙LE配對不提供防竊聽保護竊聽者可以捕獲在LE配對期間分發(fā)的密鑰（即LTK,CSRK,IRK)4.0藍牙LE安全模式1級別1不要求任何安全機制（即不進行配對認證或加密）類似于BR或EDR安全模式1,這本質(zhì)上是不安全的。推薦使用LE安全模式1級別4（加密和配對認證）4.04.25.0鏈路密鑰存儲不當如果鏈路密鑰沒有被安全存儲或增加訪問控制，攻擊者就可以讀取或修改鏈路密鑰1.22.03.04.04.25.089序號安全漏洞說明影響的版本安全建議章條號偽隨機數(shù)生成器的強度未知偽隨機數(shù)生成器可能產(chǎn)生固定或周期性的數(shù)字，這將減少認證模式的有效性。建議使用強偽隨機數(shù)生成器1.22.03.04.04.25.0加密密鑰長度是可協(xié)商的藍牙3.0及以下版本允許設備協(xié)商的加密密鑰長度最小為1字節(jié)2.03.0沒有用戶認證藍牙標準只提供了設備認證。應用級安全（包括用戶認證）可以由應用開發(fā)者加入1.22.03.04.04.25.0沒有執(zhí)行端到端的安全只是對單個鏈路進行加密和認證。中間節(jié)點會對數(shù)據(jù)解密?？梢栽谒{牙協(xié)議棧之上通過額外的安全控制來提供端到端的安全保障1.22.03.04.04.25.0序號安全漏洞說明影響的版本安全建議章條號有限的安全功能審計、不可否認性和其他的一些功能沒有在藍牙標準中體現(xiàn)。如果需要，這些服務可以由應用開發(fā)者加入1.22.03.04.04.25.0長時間處于可發(fā)現(xiàn)或可連接模式的設備容易受到攻擊設備為了完成配對或連接，必須進入發(fā)現(xiàn)模式或者連接模式，這一過程應盡可能在最短時間內(nèi)完成。設備不能一直處于這兩個模式中1.22.03.04.04.25.0JustWorks配對方法不提供MITM攻擊保護MITM攻擊者可以捕獲和操縱設備之間傳輸?shù)臄?shù)據(jù)。LE設備應在安全的環(huán)境中進行配對，以降低竊聽和MITM攻擊的風險。在4.04.25.0在安全模式3和安全模式4下，兩個已配對的BR、EDR或HS設備可能不會發(fā)生雙向認證對于已經(jīng)配對的兩個設備A和B,假設A是B的認證發(fā)起者，加密設置將在初始認證之后開始，如果加密設置的安全程度滿足B的要求，那么B無需再嘗試認證A2.03.0