Post on 03-Apr-2015
Spécification Bluetooth. Sécurité.
Benoît Calmels
Sécurité Bluetooth – Bilan des faiblesses
Spécification Bluetooth.IntroductionLes différentes couchesMécanismes de découverte et connexion
La sécurité Bluetooth.Ce qu’on peut en attendre.Flexibilité, mise en place.Vulnérabilités
Quelques services (profiles)
Des nouveautés 2.1: EDR, Simple Pairing
Introduction à Bluetooth
Spécification de communications sans fil, courte distance et faible consommation d’énergie, destinée à des éléments tels que PDA, téléphones, PC,…
Développé à l’origine par Ericsson; création en 1998 du Bluetooth Special Interest Group, avec Ericsson, IBM, Intel, Nokia, Toshiba. Aujourd’hui plus de 2000 entreprises y participent.http://www.bluetooth.org
Débit: Voix: 64kbps, Max 3 simultanément.Données: Symétrique: 433 kbps, Asymétrique: 723/57 kbps.
Distance de transmission: 10 ~ 30 mètres.
CouchePhysique
Bande de fréquence des
2.4 GHz (micro-ondes)
ISM (Industrial, Scientific & Medical) sans licence.
Introduction à Bluetooth Pile protocolaire:
Couche Physique
Communication entre un maître et jusqu’à sept esclaves (piconet). Communication entre plusieurs piconet: scatternet.
Couche physique
Time Division Duplex: Canal physique divisé en slots de 625μs. Communication alternée entre le maître et les esclaves.
Couche physique
Possibilité d'émettre sur plusieurs slots (5 max)
Couche physique
Canal de communication composé de 72 sauts de fréquences (Frequency Hopping): 1600 sauts par seconde.
Séquence de sauts définie à partir de l’adresse Bluetooth BD_ADDR du maître (48 bits). Position dans la séquence de saut (synchronisation) déterminée à l’aide de l’horloge du maître (27 bits).
Modulation de fréquence (Gaussian Frequency Shift Keying).
Couche physique
Bluetooth enhanced : AFH Adaptive frequency Hopping V1.2 de la norme Améliorer la cœxistence avec WiFi (partage de la bande des 2,4GHz)
Pkt error rateSignal strength
Couche Liaison (Baseband) 2 types de liens :
SCO : Synchronous Connection-Oriented linkQoS de type commutation de circuit : réservation de slots.Transport de la voix.64 kb/s. 1 Master et 3 esclavesTSCO: délai entre 2 envoies du Maître.
Esclave répond dans le slot suivant.Pas de CRC, jamais retransmis.
ACL : Asynchronous Connection-Less link.Transport de données.Utilise les slots non réservés par SCOGestion de la retransmission de paquets endommagés.Débits: Symétrique : 433.9 kbps, Asymétrique: (723.2kbps,
57.6kbps)
Baseband
Adresse Bluetooth BD_ADDR48 bitsA la manière de IEEE802:
LAP: Lower Address Part
UAP: Uper Address Part
NAP: Non-significant Address Part
Ex: 00:80:98:24:53:BC
Baseband
Format des paquets:
Baseband/Access Code Access Code:
Identifie le canal de communication3 types:
CAC : Channel Access Code:– identification du piconet.– Généré à partir de l'@ du maître.
DAC : Device Access Code:– utilisé dans la phase de paging.– Généré à partir de l'@ de l'unité visée.
IAC : Inquiry Access Code :– utilisé dans la phase d'Inquiry– GIAC General IAC: utilisé pour la découverte d'autres unités– DIAC Dedicated IAC : utilisé pour la découverte des unités qui
partagent des caractéristiques communes.
Baseband/Access Code Access Code:
Préambule:2 types suivant le 1er bit suivant.Éviter un courant continu pour faciliter la sync .
Baseband/Access Code
Sync word:À partir des @ BluetoothDifférent suivant le type d'AC (IAC, DAC, CAC)
Trailer:2 types suivant le 1er bit précédent.Pas forcement présent dans DAC, IAC.Utile pour les paquets de synchronisation (FHS).
Baseband/Header
AM_ADDRESS: adresse temporaire d'une unité active du piconet000 = broadcast.
Type:16 ≠Interprétation ≠ selon SCO ou ACL.Donne le nombre de slots occupés par le paquet.
Baseband/Header/Type
Type (suite):
Paquets de contrôle
1 slot
3 slots
5 slots
Baseband/Header/Type
Quelques paquets:ID: simplement Access Code DAC ou IAC: utilisé pour paging, inquiry. Donc pas dans le
tableau précédent (pas de Header!)…NULL: AC+Header, payload = 0. Utilisé pour Ack des données.POLL: AC+Header, payload = 0. Impose une réponse (Ack) de la part du correspondant.FHS: synchronisation: fournit l'horloge de l'émetteur et son @.DM1: contrôle et données sur SCO ou ACL.HV: dans les liens SCO: transport de la voix.DV: données et voix. Retransmission possible des données, pas de la voix.
DM: dans les liens ACL: data ou contrôle. FEC (correction) + CRC (détection)DH: idem DH, sans le FEC.
Baseband/Header
FlowPour ACLContrôle de flux (STOP)
ARQNPour acquitter des données
SEQNPour s'assurer qu'on acquitte bien la bonne trame: alterné après chaque
transmission.Permet de détecter les doublons.
HEC : Header Error Check (cf CRC)
Baseband/Payload
Payload SCO: 240 bits, pas d'en-tête Payload ACL:
Header: longueur de la charge utile, couche supérieure: LMP, L2CAP. 8 ou 16 bits.
Body: 0 - 339 octets.CRC : 16 bits.
Header Body CRC
Baseband/Payload
Débits :
Établissement de connexion:découverte du voisinage.
INQUIRYUnité "découvrable" dans l'état INQUIRY SCAN
Parcours une séquence de sauts de fréquence définie à partir d'une adresse de référence, partagée par tous (LAP: 0x9E8B33).
Séquence composée de 32 sauts. Change de fréquence tous les 1,28s Attend la réception d'un GIAC ou DIAC. Répond avec un paquet FHS (i.e. @ et horloge)
Unité qui effectue une découverte de réseau est dans l'état INQUIRY envoie des paquets ID, courts (simplement AC) envoie GIAC ou DIAC suivant le type d'unité cherché. n'envoie aucune info le concernant. durée de 10s max.
Établissement de connexion
PagingUnité "connectable" dans l'état PAGE SCAN
Parcours une séquence de sauts de fréquence définie à partir de SON adresse bluetooth.
Séquence composée de 32 sauts. Change de fréquence tout les 1.28s écoute et attente de son DAC durant Tw page scan.
période de scan Tpage scan
Après réception, passe dans l'état "Slave Response" puis répond avec un paquet "ID" contenant son DAC. Attend alors un Paquet FHS.
1.28T w page scan
T page scan
f
t
Établissement de connexion
PagingUnité cherchant à se connecter dans l'état PAGE
Envoi un "page" i.e. un paquet ID avec le DAC de l'équipement cible.– séquence de saut: connaît LAP (dérive de la BD_ADDR du futur esclave), suite
à Inquiry ou mémorisé lors d'une communication antérieure.– phase :possède l'horloge (suite à Inquiry) du futur esclave ou approximation de
l'horloge (mémorisée lors d'une communication précédente, mais dérive).
Utilisation de trains de fréquences, centrés autour de la fréquence supposée:– trains A : f(k-8)… f(k).. f(k+7)– trains B : f(k-16).. f(k-9), f(k+8)…f(k+15)
Établissement de connexion
PagingUnité cherchant à se connecter dans l'état PAGE
paquets ID très courts : on en envoie 2 par slots
attente d'une réponse ID avec le DAC du futur esclave
répond avec un paquet FHS et passe dans l'état "Master Response"
Établissement de connexion
Établissement de connexion
Établissement de connexion
Sécurité Bluetooth – Bilan des faiblesses
Spécification Bluetooth.IntroductionLes différentes couchesMécanismes de découverte et connexion
La sécurité Bluetooth.Ce qu’on peut en attendre.Flexibilité, mise en place.Vulnérabilités
Quelques services (profiles)
Des nouveautés 2.1: EDR, Simple Pairing
Sécurité
Assurer la sécurisation de la couche liaisonAuthentification des unités Bluetooth.Confidentialité des échanges.
3 niveaux pour mettre en place de façon flexible ces mécanismes:Mode 1: Pas de sécuritéMode 2: Sécurité au niveau service (après l’établissement de la connexion
L2CAP). Mise en place d’un security manager qui gère les accès aux différents services:
Ouvert à tous.Authentification nécessaire.Authentification et Autorisation nécessaires.
Mode 3: Sécurité au niveau liaison (LMP)
Security Manager:
Sécurité
Éléments intervenants:BD_ADDR (48 bits).Clefs de liaison (128 bits).
KAB: combination key.
KA: unit key.
KMASTER: master key.
KINIT: initialisation key.
Clefs de chiffrement KC (8-128 bits).
Aléas (128 bits).PIN (8-128 bits).
Sécurité
Mise en place: Association de deux unités Bluetooth (bonding)
Création d’une clef d’initialisation.Création d’une clef de liaison.Échange de la clef de liaison.Authentification.Création d’une clef de chiffrement (optionnel).
pairing.
Connexion d’unités déjà associées préalablement (possèdent déjà une clef de liaison):
Authentification.Création d’une clef de chiffrement (optionnel).
Sécurité
Génération des clefs: utilisation de SAPHER+, Cylink.Chiffrement par blocs de 128 bits.Candidat à l’AES, NESSIE.Utilisé dans :
E1 (Authentification).
E21(Unit key, Combination key).
E22 (Initialisation, clef de groupe).
E3 (clef de chiffrement).
Légère Modification de SAFER+ pour empêcher une réversibilité.
Sécurité
E0: Chiffrement par flux:
Composition:IV: Kc (8-128 bits), BD_ADDR (48 bits), aléa (128), horloge (26).Quatre LFSR: 25, 31, 33 et 39 bits.Un mélangeur.2 niveaux.
texte chiffré+IV
texte clair
G
Verschiffrant
Niveau 1: initialisation du niveau 2
Niveau 2: vers chiffrant
Sécurité
Chiffrement de la payload:
Format de la payload:
Sécurité Authentification, pairing
A,B honnêtes, C attaquant.
- Génération de KINIT:
Une seule donnée secrète: le code PIN.
A B
IN_RANDA
E22
KINIT
IN_RANDA
PIN & BD_ADDRB
LE22
IN_RANDA
PIN & BD_ADDRB
L
KINIT
iMac C
Sécurité
- Création et échange de la clef de liaison:
Échanges d’aléas chiffré par KINIT (Xor).
- Authentification de B par A:
Faiblesses protocolaires
Conséquences:Confidentialité perdue.Si C peut modifier sa BD_ADDR, une imposture est possible.Imposture possible sans avoir à recommencer une phase de pairing.Attaque réalisée off-line.
Difficulté de réalisation:Écoute de la phase de pairing.PIN code « faible ».
Parades:Éviter les endroits publics pour la phase d’appariement.Couche logicielle.PIN bien choisi.
Faiblesses protocolaires
Complexité des PINs:
Taille du PIN \ Caractères utilisés Chiffres (10) Chiffres+Alphabet (36) Chiffres+Alphabet+Casse (62)
4 caractères _ _ _ _ 2 1̂3 2 2̂1 2 2̂410 caractères _ _ _ _ _ _ _ _ _ _ 2 3̂3 2 5̂2 2 6̂0
12 caractères _ _ _ _ _ _ _ _ _ _ _ _ 2 4̂0 2 6̂2 2 7̂116 caractères _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 2 5̂3 2 8̂3 2 9̂5
Faiblesse des Unit Keys
3 unités A (ressources limités), B, C. Pairing de A avec C:
Création de KINIT.
A calcule KA à partir d’un aléa et de sa BD_ADDR avec E21.A négocie et fournit KA à C, qui devient la clef de liaison.
Conclusion:C peut désormais écouter et déchiffrer toutes les conversations de A.Si C peut modifier sa BD_ADDR, il peut réaliser des impostures.C n’est pas obligé de s’appairer avec A, s’il utilise l’attaque précédente
(pairing).
Parades:Utilisation des Combination Keys s’il n’y a pas de contraintes matérielles
réelles.
Déni de service
Temps d’attente après un échec de la phase d’appariement:Usurper l’identité d’un utilisateur légitime et effectuer des tentatives de
connexion avec de mauvais paramètres (PIN/clefs erronés): le temps d’attente croît exponentiellement
Sur-consommation d’énergie.
Cryptanalyse de E0
Hypothèse de travail à clair connu
Saarinen:Complexité de 2100, avec 125 bits de message connu.
Jakobsson et WetzelComplexité de 266, avec 266 bits de message connu.
Fluhrer et LucksComplexité de 284 pour 132 bits de message connu.Complexité de 273 pour 243 bits connus.
KrauseComplexité de 277 pour 128 bits de connu.
Études théoriques, restent inapplicables aujourd’hui car trop complexes, ou nécessitent trop de clair connu.
Sécurité Bluetooth – Bilan des faiblesses
Spécification Bluetooth.IntroductionLes différentes couchesMécanismes de découverte et connexion
La sécurité Bluetooth.Ce qu’on peut en attendre.Flexibilité, mise en place.Vulnérabilités
Quelques services (profiles)
Des nouveautés 2.1: EDR, Simple Pairing
Link Manager Protocol
Commandes pour la gestion de la connexion ou de la sécuritéLMP_encryption_key_size_reqLMP_switch_roleLMP_max_powerLMP_name_req
L2CAP
Logical Link Control and Adaptation ProtocolProtocol multiplexing: car non géré au niveau de la Baseband (pas de champs
"type").Segmentation et réassemblement : gérer les données des couches supérieures
en fonction des différentes MTU possibles.Utilisation de Channels pour identifier les flux.
SDP
Service Discovery ProfileDonne les services disponibles sur un équipement, et le moyen de les obtenir.Service Class : donne le type de service (printer, headset, …) en fonction d'un code:
Classe de service UUID
Headset 0x1108
Generic Audio 0x1203
Cordless Telephony 0x1109
GenericTelephony 0x1204
Sécurité Bluetooth – Bilan des faiblesses
Spécification Bluetooth.IntroductionLes différentes couchesMécanismes de découverte et connexion
La sécurité Bluetooth.Ce qu’on peut en attendre.Flexibilité, mise en place.Vulnérabilités
Quelques services (profiles)
Des nouveautés 2.1: EDR, Simple Pairing, Security mode 4
Nouveautés 2.1
26 juillet 2007, 1420 pages
Enhanced Data Rate : 2 Mbps et 3 Mbps
Simple pairing
Security mode 4
Simple pairing - Objectifs
Simplifier la procédure pour l’utilisateur
Améliorer la sécuritéAttaques par écoute passive
On n’utilise plus de PIN choisi par l’utilisateur comme source d’entropie.
Utilisation des courbes elliptiques Diffie Hellman (ECDH) , mécanisme à clef publique.
Attaque de type MIMEnvoie/récéption de messages validé par l’utilisateur : permet de
confirmer qu’on travaille avec les bonnes clefs publiques.Communication hors bande
-> Dépend du « modèle d’association »
Simple pairing
4 modèles d’association :Comparaison de nombresDirectHors bandeEntrée de mot de passe
Simple pairing
Dans le détail : 4 phases1. Echange des clefs publiques Diffie Hellman
2. Authentification : phase 1 (dépendant du modèle)– 3 types :
– Comparaison de nb– Hors bande– Entrée de mot de passe
– Objectif : vérifier la validité de la clef publique
Simple pairing
Dans le détail : 4 phases
3. Authentification : phase 2– Confirmation du bon déroulement de la phase 1– Commun à tous les modèles
4. Calcul de la Link key– f(DH,Aléas, BDaddr), identique pour les 2 équipements
Simple pairing
Exemple : échange de clef par NFC
Security mode 4
Prise en compte du Simple Pairing Protocol.
Mise en place de la sécurité dès l’établissement de la communication (comme security mode 3).
Flexibilité dans les modes de sécurité (comme mode 2) :Clef de liaison authentifiée requise
- Avec le Simple Pairing, hors modèle « direct »Clef de liaison non authentifiée requise
- Ancien pairingPas de sécurité
Bluetooth
Pour aller plus loin:http://www.bluetooth.org