安全公告

Bluetooth SIG 关于 "Bluetooth Forward and Future Secrecy Attacks and Defenses (BLUFFS) "漏洞的声明

EURECOM 的研究人员向蓝牙SIG BluetoothSIG ）发布了一份报告，报告指出，支持蓝牙™ 核心规范 4.2 至 5.4 中的安全连接配对和安全简单配对的 BR/EDR 设备可能会受到已使用安全连接配对或绑定的对等设备之间的中间人（MITM）攻击。

研究人员发现，MITM 攻击者如果将配对或绑定的设备欺骗到对方，可能会促使这两个设备使用传统加密建立后续加密程序，并进入外设角色（如果尚未进入外设角色）。这样，MITM 攻击者就可以强制使用两台设备都支持的最小允许加密密钥长度，并强制使用所有用于为加密密钥生成加盐的唯一性数据 值。攻击成功后，邻近的攻击者可确保在邻近期间的每个会话都使用相同的加密密钥，并强制使用支持的最低加密密钥长度。任何符合标准的 BR/EDR 实现都可能在会话密钥建立时受到这种攻击，但是，通过拒绝访问降级会话的host 资源，或通过确保足够的密钥熵使会话密钥重复使用对攻击者的作用有限，可以限制这种攻击的影响。BR/EDR 安全连接配对被认为不容易受到这种攻击，因为这种攻击需要降级为不需要相互应用密钥的协议。

如果可以通过协商减少加密密钥长度，那么 MITM 攻击者就有可能通过反复试验强行获取加密密钥，从而解密设备之间的流量。由于 MITM 可以在接近受影响的对等设备时强制使用相同的加密密钥来建立所有加密，如果该加密密钥可以被强制使用，那么之前和之后的所有受攻击会话也容易被解密。建议 BR/EDR 加密会话的最小加密密钥长度为 7 个八位字节。在会话期间，预计不可能实时强制使用 7 个八位位组的密钥，但是，能够与受攻击设备同处一地的攻击者可能会记录下足够的私人通信量，从而值得对单个会话密钥进行攻击。如果成功的攻击者能将加密密钥长度减少到 7 个八位字节以下，那么攻击者就能实时完成对加密密钥的暴力破解，从而允许对受影响对等设备之间的流量进行实时注入攻击。

要使这种攻击成功，攻击设备需要在两个易受攻击的Bluetooth 设备的无线范围内，使用通过 BR/EDR 安全连接配对程序获得的链接密钥启动加密程序。

建议实施系统在加密基带链路上拒绝接受密钥强度低于 7 个八位字节的服务 级连接。对于能够始终使用安全模式 4 第 4 级的实施，实施应拒绝加密基带链路上密钥强度低于 16 个八位字节的服务 级连接。让两台设备都在 "仅安全连接模式 "下运行也能确保足够的密钥强度。

实施还应在Bluetooth 安全数据库中跟踪链路密钥是否使用 BR/EDR 安全连接建立，并验证任何后续加密建立是否也使用安全连接。如果先前使用 "安全连接 "模式绑定的绑定对等体未在 "安全连接 "模式下建立加密，或协商的加密密钥大小太小，则应终止链接。