Безопасность в системах Bluetooth
кой, в соседнем офисе, сможет без труда прочесть все, что набирает Алиса, включая исходящую почту. Можно захватить все, что передается на беспроводной принтер, если расположиться неподалеку от него (включая входящую почту и конфиденциальные бумаги). К счастью, в Bluetooth есть рабочая схема защиты, нарушающая планы всевозможных личностей типа Труди. Далее мы опишем основные черты этой схемы.
Система защиты Bluetooth может работать в трех режимах, начиная от полного бездействия и заканчивая тотальной шифрацией данных и контролем целостности. Как и в случае с 802.11, если система защиты отключена (по умолчанию это именно так), о какой-либо безопасности говорить не приходится.
Большинство пользователей не включают защиту до тех пор, пока не грянет гром. Можно привести сельскохозяйственный пример такого подхода: ворота конюшни закрывают только после исчезновения лошади.Bluetooth обеспечивает безопасность на нескольких уровнях. На физическом уровне для этого применяются скачкообразные изменения частот, но поскольку любое устройство, появляющееся в микросети, должно узнать последовательность скачков частоты, эта последовательность, очевидно, не является секретной. Настоящая защита информации начинает проявляться тогда, когда вновь прибывшее подчиненное устройство пытается запросить канал для связи с управляющим устройством. Предполагается, что оба устройства совместно используют предварительно установленный закрытый ключ.
В некоторых случаях он прошивается в обоих устройствах (например, в гарнитуре и мобильном телефоне, продающихся вместе). В других случаях в одном из устройств (например, в гарнитуре) ключ прошит, а в сопряженное устройство (например, мобильный телефон) пользователь должен ввести ключ вручную в виде десятичного числа. Общие ключи такого типа называются отмычками.Перед установкой канала подчиненное и управляющее устройства должны выяснить, владеют ли они отмычками. В случае положительного ответа им необходимо договориться о том, каким будет канал: шифрованным, с контролем целостности или и таким, и таким. Затем выбирается 128-разрядный ключ сеанса, некоторые биты которого могут быть сделаны общедоступными. Такое послабление сделано в целях соответствия системы ограничениям, введенным правительствами разных стран и запрещающим экспорт или использование ключей, длина которых больше той, что способно взломать правительство.
Шифрация выполняется с применением потокового шифра Е0, контроль целостности — с применением SAFER+. И тот, и другой представляют собой традиционные блочные шифры с симметричными ключами. SAFER+ пытались использовать в AES, однако очень быстро отказались от этой мысли, так как он работал гораздо медленнее других. Работа над Bluetooth завершилась еще до того, как был выбран шифр AES; в противном случае, вероятно, использовался бы алгоритм Rijndael.
Процесс шифрации с использованием ключевого потока показан на рис. 8.12. На нем видно, что открытый текст суммируется по модулю 2 с ключевым потоком. В результате получается шифрованный текст. К сожалению, алгоритм Е0, как и RC4, чрезвычайно слаб (Jacobsson и Wetzel, 2001). Несмотря на то, что на момент написания книги он еще не взломан, его сходство с шифром А5/1, чей провал угрожает безопасности всего GSM-трафика, наводит на грустные мысли (Biryukov и др., 2000). Многим (в том числе и автору) кажется удивительным тот факт, что в игре «кошки-мышки» между шифровальщиками и криптоаналитиками так часто побеждают последние.
Еще одна проблема безопасности, связанная с Bluetooth, состоит в том, что система идентифицирует только устройства, а не пользователей. Это приводит к тому, что вор, укравший устройство Bluetooth, получит доступ к финансовым и другим счетам жертвы. Тем не менее, система безопасности в Bluetooth реализована и на верхних уровнях, поэтому даже в случае взлома защиты на уровне передачи данных некоторые шансы еще остаются, особенно если приложение для выполнения транзакции требует ввода PIN-кода вручную с помощью какой-нибудь разновидности клавиатуры.
Еще по теме Безопасность в системах Bluetooth:
- Статья 275. Нарушение правил, касающихся безопасного использования промышленной продукции или безопасной эксплуатации зданий и сооружений
- § 39 Классификация договоров в отдельных видах. – Римская классификация. – Система прусского закона, французского и австрийского кодекса. – Система русского свода. – Система настоящего изложения.
- Тема 15 Правова система і система права. Система законодавства та систематизація нормативно-правових актів
- Электрическая безопасность.
- Понятие информационной безопасности
- / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. Основы информационной безопасности. Учебное пособие для вузов, 2006
- 2.9. Психология личной безопасности человека
- Пятачок безопасности
- 12.4. Органы федеральной службы безопасности России
- Безопасный мир
- ГЛАВА 10 ПРАВОВЫЕ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- 10.3 Психология обеспечения безопасности дорожного движения
- Риск и личная безопасность.
- 2.2.5. Область создания и применения средств и механизмов информационной безопасности
- Техника безопасности.
- Вы всегда в безопасности
- О технике безопасности
- Личная профессиональная безопасность сотрудника органа правопорядка.
- 10.5. Структура правового регулирования отношений в области информационной безопасности
- Методы обеспечения информационной безопасности Российской Федерации