我正在考虑购买 Logitec M570 无线轨迹球。该设备使用 Logitec 的“Unifying”无线技术:一个微型 USB 插入件支持多个 Logitec 设备。
此主题提到 Unifying 系统使用 AES128 的事实,并指出 Logitec 关于此主题的白皮书:看这里这份文件中有以下非常令人恐惧的声明:
请注意,加密密钥绝不会通过无线方式传输。通过监视配对过程中交换的数据包,黑客无法在不知道构建密钥所采用的秘密算法的情况下找到加密密钥。
秘密算法?当有功能完好的公开已知和测试过的算法(我想到的是 Diffie-Hellman)时,Logitec 真的愚蠢到使用秘密专有算法进行密钥交换吗?有谁知道:
- Logitec 设备配对中存在已知漏洞(比这个模糊的声明更为人所知)?
- 对这些设备有任何研究/审计吗?
答案1
答案2
我没有任何确凿的事实可以补充,但一点点猜测不会伤害任何人。:)
如果你接受罗技的说法“无需知道秘密算法“从表面上看,这基本上意味着唯一能阻止攻击者在配对期间恢复密钥的就是密钥协议算法的知识。任何设法从设备中提取程序的人都可以破坏其安全性。现在,如果他们真的使用了一些众所周知的安全密钥协议系统,那么我相信他们不会在白皮书中添加这样的声明。
在Unifying 接收器拆解你可以看到他们使用的是NRF24LU1P芯片,这导致了NordicSemi 的规范。这是一款带有 16 MHz 8 位 CPU 的 SoC。它内置 AES128 支持,但没有其他加密。有一个 32 位乘法单元,有助于非对称加密,但我见过更强大的 32 位微控制器需要花费数秒来计算 1536 位 Diffie-Hellman 握手(目前被认为是安全的最低限度),因此排除了这一点。然而,它可能不会排除像 Curve25519 这样的东西。
幸运的是,用户很少进行配对,这在很大程度上限制了机会主义攻击者的攻击机会。
答案3
好的,我回答最初的问题有点晚了。
不管怎样,是的,“秘密算法”是一个问题。
以下是一条推文的链接,其中总结了一些新问题:
- PoC 1:嗅探 RF 上的配对、派生密钥并将 RF 流量解密到 Unifying 加密狗(初始问题)
- PoC 2:攻击加密本身,在不知道密钥的情况下注入加密的击键(不是密钥交换的问题,而是 AES 实现不良)
- PoC3:从 Unifying 加密狗中转储所有密钥并解密所有内容
- 最终演示:滥用 Unifying 加密狗作为远程 shell 的 RF 中继(隐蔽通道,连接的设备仍然有效)