經(jīng)過(guò)這端時(shí)間的學(xué)習(xí)����,首先問(wèn)題有錯(cuò)誤:和不具備IO輸出輸出能力的設(shè)備連接配對(duì)鏈路是不加密的。這個(gè)說(shuō)法是錯(cuò)誤的����。這是屬于藍(lán)牙配對(duì)模式的一種叫Just Work。這種方式只要再配對(duì)過(guò)程中沒(méi)有受到攻擊����,后續(xù)的通信就是安全的。
配對(duì)的本質(zhì)是密鑰分發(fā)交換����。Just Work模式配對(duì)過(guò)程中密鑰明文傳輸(也可能是根據(jù)明文傳輸?shù)臄?shù)據(jù)使用一定的算法計(jì)算得到,不管怎樣����,這個(gè)階段無(wú)法抵御中間人攻擊或竊聽(tīng)攻擊)����。
問(wèn)題中描述的手機(jī)����、電腦之間的配對(duì)測(cè)試比較雙方顯示的數(shù)字的方式,在藍(lán)牙配對(duì)模型中叫Numeric comparison����。這種方式是可以抵御中間人攻擊的。原理是配對(duì)過(guò)程采用的公鑰密碼體制����。大概原理就是:
- 雙方交換公鑰
- 各自根據(jù)雙方公鑰和其他信息,計(jì)算得出一個(gè)6位數(shù)字
- 人為比較是否一致����,一致選擇Yes后配對(duì)成功。
一開(kāi)始認(rèn)為顯示的那個(gè)6位數(shù)字是雙方交換的����,可以被竊聽(tīng)所以認(rèn)為不安全����,其實(shí)雙方并沒(méi)有傳輸這個(gè)數(shù)字����。交換的是各自的公鑰����。
中間人偽造的公鑰理論上很難使雙方顯示的這個(gè)6位數(shù)字一樣。如果不偽造的話����,一方用另一方的公鑰加密的信息,中間人由于缺少私鑰不能解密����。無(wú)論怎樣說(shuō),這種方式都是安全的����。
