Sicherheit

Sicherheit

Die aktuelle Bluetooth-Spezifikation definiert Sicherheit auf Verbindungsebene. Eine Absicherung auf Anwendungsebene ist nicht spezifiziert. Somit können Anwendungsentwickler Sicherheitsmechanismen definieren, die an die spezifischen Bedürfnisse angepasst sind. Die Absicherung auf Verbindungsebene erfolgt zwischen den Geräten und nicht zwischen den Benutzern. Die Absicherung auf Anwendungsebene kann dagegen benutzerbasiert implementiert werden. Die Bluetooth-Spezifikation definiert die zur Authentifizierung der Geräte benötigten Sicherheitsalgorithmen und -prozeduren sowie ggf. die Verschlüsselung des Datenstroms über die Verbindung zwischen den Geräten. Die Geräteauthentifizierung ist eine vorgeschriebene Funktion von Bluetooth, die Verbindungsverschlüsselung ist hingegen optional.
Für die Kopplung von Bluetooth-Geräten wird ein Initialisierungsschlüssel erstellt, mithilfe dessen die Geräte authentifiziert werden und ein Verbindungsschlüssel für sie erstellt wird. Der Initialisierungsschlüssel wird durch Eingabe einer PIN (Personal Identification Number) in den zu koppelnden Geräten erstellt. Die PIN wird niemals über die Funkstrecke übertragen. Der Bluetooth-Stack antwortet standardmäßig ohne Schlüssel, wenn ein Schlüssel angefordert wird (das Schlüsselanforderungsereignis muss vom Benutzer beantwortet werden). Die Authentifizierung von Bluetooth-Geräten basiert auf einer Challenge-Response-Transaktion. Für Bluetooth sind PIN oder Hauptschlüssel zulässig, um daraus weitere 128-Bit-Schlüssel für Sicherheit und Verschlüsselung zu erstellen. Der Verschlüsselungsschlüssel wird aus dem Verbindungsschlüssel abgeleitet, der für die Authentifizierung der Geräte beim Koppeln verwendet wird. Erwähnenswert sind zudem die begrenzte Reichweite und das schnelle Frequenzsprungverfahren der Bluetooth-Geräte, wodurch ein Abhören über große Distanzen erschwert wird.
Empfehlungen:
  • Ausführen der Kopplung in einer sicheren Umgebung
  • geheimes Verwahren der PIN-Codes; PIN-Codes nicht auf dem Gerät speichern
  • Implementieren der Sicherheit auf Anwendungsebene