セキュリティについて

Bluetooth Forward and Future Secrecy Attacks and Defenses (BLUFFS)」脆弱性に関するBluetoothSIG 声明

EURECOMの研究者は、ブルートゥース® コア仕様4.2～5.4でセキュアコネクションのペアリングおよびセキュア・シンプルペアリングをサポートするBR/EDRデバイスが、セキュアコネクションを使用してペアリングまたはボンディング済みのピア間でMITM（Man in The Middle）攻撃を受ける可能性があることを指摘する報告書をブルートゥースSIG 提出しました。

研究者らは、ペアリングまたはボンディングされたデバイスを互いに偽装するMITM攻撃者が、ペリフェラルの役割にまだ入っていない場合、レガシー暗号化を使用して後続の暗号化手順を確立し、ペリフェラルの役割に入るよう両者に促す可能性があることを確認した。これにより、MITM攻撃者は、両方のデバイスでサポートされている最小許容暗号化キー長を強制し、暗号化キーの生成に使用されるすべてのノンス 値を強制することができる。攻撃が成功した場合、近接した攻撃者は、近接している間、同じ暗号化キーが すべてのセッションで使用されることを保証し、サポートされている最低の 暗号化キー長を強制することができる。適合するBR/EDR実装は、セッション鍵の確立に関するこの攻撃に対して 脆弱であると予想されるが、ダウングレードされたセッションからのhost リソースへのアクセスを拒否したり、セッション鍵の再利用が攻撃者にとって 限定的な有用性となるように十分な鍵エントロピーを確保したりすることで、 影響は限定されるかもしれない。BR/EDRセキュアコネクションのペアリングは、相互認証必要としないプロトコルにダウングレードする必要があるため、この攻撃方法に対して脆弱ではないことが確認された。

暗号化キーの長さを短くしてネゴシエートできる場合、MITM攻撃者は試行錯誤によって暗号化キーをブルートフォースして、デバイス間のトラフィックの復号化を許可できる可能性がある。その暗号化キーがブルートフォースできる場合、影響を受けるピアデバイスに近接している間、MITMはすべての暗号化確立に対して同じ暗号化キーを強制できるため、それ以前とそれ以降の攻撃されたセッションもすべて復号化される脆弱性がある。BR/EDR暗号化セッションの推奨最小暗号化キー長は7オクテットである。7オクテットの鍵をブルートフォースすることは、セッション中にリアルタイムで可能であるとは予想されない。しかし、攻撃されたデバイスと同じ場所にいることができる攻撃者は、1つのセッション鍵に対する攻撃を価値あるものにするのに十分なプライベートトラフィックを記録できるかもしれない。もし攻撃者が暗号鍵の長さを7オクテット以下にすることに成功すれば、 攻撃者はリアルタイムで暗号鍵のブルートフォース(総当たり)を実行できる可能性が ある。

この攻撃を成功させるには、攻撃するデバイスが、BR/EDRセキュアコネクションのペアリング手順で取得したリンクキーを使用して暗号化手順を開始する2つの脆弱なBluetoothデバイスの無線範囲内にある必要があります。

実装は、7オクテットを下回る鍵強度の暗号化ベースバンドリンク上のサービ スレベル接続を拒否することが推奨される。常にセキュリティモード4レベル4を使用できる実装では、実装は16オクテットを下回る鍵強度の暗号化ベースバンドリンク上のサービスレベル接続を拒否すべきである。両方のデバイスがSecure Connections Only Modeで動作することも、十分な鍵強度を保証する。

実装はまた、BluetoothセキュリティデータベースでBR/EDRセキュアコネクションを使用してリンクキーが確立されたことを追跡し、その後の暗号化確立もセキュアコネクションを使用することを検証すべきである。以前に Secure Connections モードを使用してボンディングされたピアに対して Secure Connections モードで暗号化が確立されなかった場合、またはネゴシエートされた暗号化キーサイズが小さすぎる場合、リンクは終了すべきである。