Warum Bluetooth-Modul-Sicherheit wichtig ist
Wenn Ingenieure ein Bluetooth-Modul für ein neues Produkt evaluieren, vergleichen sie typischerweise Stromverbrauch, Reichweite und Formfaktor. Sicherheit kommt meist spät ins Gespräch—oft erst, wenn ein Prototyp läuft. Das ist problematisch, da die BLE-Sicherheitsarchitektur größtenteils in der Modul- und Firmware-Auswahlphase festgelegt wird.
BLE-Sicherheitsarchitektur
- Pairing und Bonding: Stellt einen gemeinsamen Schlüssel (LTK) zwischen Geräten her. Methoden reichen von Just Works (MITM-anfällig) bis Passkey Entry (MITM-resistent).
- LE Secure Connections (LESC): Eingeführt in BLE 4.2, nutzt ECDH auf der P-256-Kurve. Bietet Forward Secrecy und ist in BLE 5.0+ obligatorisch.
- Privacy / Resolvable Private Addresses (RPA): Geräte rotieren periodisch ihre MAC-Adresse zur Verhinderung von Tracking.
- Attributverschlüsselung und -signierung: GATT-Charakteristika können einen verschlüsselten Link oder signierten Write erfordern.
Häufige Sicherheitslücken
| Schwachstelle | Ursache | Angriffswirkung |
|---|---|---|
| Just Works in der Produktion | Standard-SDK-Beispielcode unverändert | MITM fängt Sitzungsschlüssel ab |
| Unverschlüsselte GATT-Charakteristika | Fehlende Berechtigungs-Flags | Jeder Scanner kann Gerätestatus lesen/schreiben |
| Feste MAC-Adresse | Privacy/RPA nicht aktiviert | Gerätestandort durch passiven Beobachter verfolgbar |
| Klartext-OTA-Firmware | Custom OTA ohne Transportverschlüsselung | Firmware extrahierbar oder durch Schadcode ersetzbar |
| Hardcodierter Pairing-PIN | Fester Passkey „000000“ | Brute-Force in unter 1 Sekunde |
Praktische Konfigurationscheckliste
- □ Pairing-Modus auf LE Secure Connections gesetzt; Just Works deaktiviert
- □ Alle GATT-Charakteristika mit sensiblen Daten erfordern verschlüsselten Link
- □ Privacy/RPA aktiviert mit Rotationsintervall ≤ 15 Minuten
- □ Flash-Ausleseschutz im Produktionsprogrammierscript aktiviert
- □ TRNG-Quelle in der SDK-Konfiguration bestätigt
- □ OTA-Payload vor Anwendung mit Firmware-Signatur verifiziert
- □ PIN nicht hardcodiert; dynamisch generiert oder gerätespezifisch provisioniert
- □ Debug-Interface bei Produktionseinheiten gesperrt
Ein Bluetooth-Modul, das diese Checkliste besteht, wird mit einer Sicherheitslage ausgeliefert, die dem Aufwand für seine RF-Leistung entspricht.