android - BLE 设备每次与新设备绑定(bind)时是否会生成新的 LTK、CSRK 和 IRK？

Question

对于 BLE 专家，我有一个概念性问题，关于在两个 BLE 设备之间发生绑定(bind)时生成和交换的 key 。我可能错了，或者我的问题可能很幼稚，所以请多多包涵。
考虑以下示例，我们称其为 Case-1。
假设我们有一个外围设备 (P1) 和一个中央设备 (C1)。
P1 发送广告以连接到附近的设备。 C1 启动连接，两个设备开始连接过程，两个设备交换它们的 I/O 能力、配对方法和一些 key 。最终，一旦绑定(bind)完成，两个设备就交换了 LTK , IRK , 和 CSRK用于加密连接、解析随机地址和解析签名，以及 EDIV , RAND .现在，P1 和 C1 都可以在使用这些 key 进行通信时用于各自的目的。
我有以下问题:
Q1。 P1 和 C1 之间的连接终止。以后当P1和C1再次连接时，两个设备会不会使用相同的LTK , IRK , 和 CSRK他们在案例 1 中使用的 key ？
Q2。假设一个新的中央 (C2) 出现在图片中。 P1 不再连接到 C1。 P1 现在想与 C2 连接(通过绑定(bind))。 P1 是否会使用相同的 LTK , EDIV , RAND , IRK , 和 CSRK它之前使用(生成)来连接案例 1 中的 C1？
Q3。 BLE 设备是否对它们连接的每个新设备使用不同的 key (LTK、EDIV、RAND、IRK 和 CSRK)？
Q4。如果我将存储在 C1 中的 key ( LTK 、 EDIV 、 RAND 、 IRK 和 CSRK )存储在 C2 中，P1 可以使用相同的 key 连接到 C2 吗？从安全的角度来看，是否有可能使这项工作或在逻辑上不正确？
如果有人能澄清这些观点，那将是一个救命稻草。谢谢
PS:我正在咨询 core-spec v5.3 和一些在线资源供我阅读。

Answer 1

IRK 始终是恒定的(在每次配对尝试中共享相同的 IRK)并用于创建随机可解析地址。然后，从远程设备接收 IRK 的设备可以确定随机可解析地址是否属于特定 IRK。
所有其他键对于每个键都是唯一的。
CSRK 对于每个绑定(bind)必须是唯一的，因为有一个与之关联的计数器，在每次数据包写入时递增以避免重放攻击。如果两个绑定(bind)具有相同的 CSRK，这在安全方面将不起作用，因为攻击者可以在模拟绑定(bind) 2 时重放绑定(bind) 1 的数据包(假设绑定(bind) 2 的数据包计数器较少)。
LTK、EDIV 和 RAND 用于派生 session key ，以便在同一对设备之间的连接下一次连接时进行加密。
因此，Q1 的答案是，只要存在绑定(bind)， key 就会被重复用于同一对设备之间的每次新连接尝试。
如果您特别将 IRK 从一个中心复制到另一个中心，则可以在 P1 和 C2 之间建立连接，并且如果 C2 使用随机可解析地址，则可以在此连接期间使用所有其他 key 。这是因为 P1 认为由于随机可解析地址而与 C1 对话。毕竟，在链路层上，如果随机可解析地址与相同的 IRK 一起使用，则无法区分 C2 和 C1。
如果不使用随机可解析地址，则通常无法在设备之间复制一组 key 。这是因为 key 与蓝牙设备地址(公共(public)或静态随机)相关联。如果使用不同地址的中心连接到外围设备，外围设备将在其数据库中查找绑定(bind) key ，以发现没有为该地址存储的 LTK、EDIV、RAND、CSRK。在某些实现中，虽然对于加密设置，外设将根据 EDIV 和 RAND 而不是地址来查找 LTK。在这种情况下，复制 key 将起作用，至少可以建立加密。 CSRK 总是从地址中查找。请注意，对于 LE 安全连接，EDIV 和 RAND 始终为 0，因此在这种情况下，始终从地址查找 LTK。
请注意，CSRK 的使用并不普遍。我还没有看到任何实现在实际产品中使用它。由于只有“Write without Response”命令可以与 CSRK 一起使用，并且计数器必须永久存储这一事实，覆盖各种数据包的正常经过身份验证的加密通常是一个更好的主意，因为通常可以容忍少数加密设置数据包.