Bluetooth 実装において公開鍵の検証が不十分な可能性

 2023.06.06  三和コムテック

Bluetooth は、機器間での暗号化された通信をするのに、楕円曲線ディフィー・ヘルマン(EDCH, elliptic-curve Diffie-Hellman )鍵共有に基づいたペアリング機構を利用しています。ECDH 鍵のペアは秘密鍵と公開鍵の2つより成り立っており、公開鍵が共有のペアリングの鍵として交換されます。

Bluetooth の仕様では相手から受け取った公開鍵が適切なものであるか検証することが推奨されていますが必須とはされていなかったこともあり、一部の実装において、楕円曲線のパラメータの暗号アルゴリズム実装による検証が全くなされておらず、ワイアレスの圏内にいるリモートの攻撃者が無効な公開鍵をインジェクトすることで高確率でセッションキーを割り出すことが出来る可能性があります。そうした攻撃者は、その後、受動的に暗号化を傍受・解読したり、悪意のあるメッセージをインジェクト・又は作り出すことができることとなります。

[対応]
アップデートをして下さい。
[詳細]
https://jvn.jp/vu/JVNVU92767028/
https://www.kb.cert.org/vuls/id/304725

 
SCT Security Solution Book

RECENT POST「セキュリティ」の最新記事


クレジットカード不正利用額は史上最高値!2024年度被害について考察
セキュリティ

クレジットカード不正利用額は史上最高値!2024年度被害について考察

IPA「情報セキュリティ10大脅威 2025」発表!最新のサイバー攻撃トレンドと対策を解説
セキュリティ

IPA「情報セキュリティ10大脅威 2025」発表!最新のサイバー攻撃トレンドと対策を解説

相次ぐ重要インフラを狙った「DDoS攻撃」根本原因と対策を徹底考察!
セキュリティ

相次ぐ重要インフラを狙った「DDoS攻撃」根本原因と対策を徹底考察!

リアルタイムで脅威をキャッチ!サイバー攻撃可視化ツールの選び方と導入のコツ
セキュリティ

リアルタイムで脅威をキャッチ!サイバー攻撃可視化ツールの選び方と導入のコツ

Bluetooth 実装において公開鍵の検証が不十分な可能性
ブログ無料購読のご案内

おすすめ資料

PAGETOP