ARQUITETCURA DE SEGURIDAD
DE BLUETOOTH
Bluetooth utilizado exclusivamente para actualizaciones seguras de firmware
Cuvex incorpora un módulo Bluetooth, pero su uso está estrictamente limitado por diseño.
Bluetooth solo se habilita dentro del bootloader, y exclusivamente para el proceso de actualización de firmware.
Nunca está disponible durante el funcionamiento normal del dispositivo, ni durante procesos de cifrado, descifrado o firma de transacciones.
Una vez que el dispositivo arranca con su firmware operativo (AppCode), Bluetooth queda completamente deshabilitado, tanto a nivel de software como de funcionalidad.
Selección de hardware seguro
El subsistema Bluetooth se basa en el STM32WB5MMG de STMicroelectronics, seleccionado específicamente por sus capacidades de seguridad integradas.
Este componente seguro incluye, entre otras características:
-
Gestión de claves basada en hardware y almacenamiento seguro de claves
-
Acelerador de clave pública (PKA)
-
Cifrado por hardware AES-256
-
Generador de números aleatorios verdaderos (TRNG)
-
Protección de memoria PCROP
-
Identificador único de dispositivo de 96 bits
Estas características garantizan que incluso el canal de actualización de firmware se apoya en una base criptográfica reforzada.
Aislamiento operativo forzado
Se implementan salvaguardas operativas directamente a nivel de dispositivo:
-
Antes de iniciar cualquier operación criptográfica o de firma, el dispositivo verifica que el módulo Bluetooth esté apagado
-
Si se detecta Bluetooth activo, la operación se aborta automáticamente
-
Esto garantiza que Bluetooth nunca pueda coexistir con procesos sensibles
Además, la actividad de Bluetooth es físicamente observable por el usuario:
-
Un LED azul dedicado, integrado directamente en el módulo Bluetooth, se enciende siempre que el módulo recibe alimentación
-
Este LED no puede ser controlado por software fuera del subsistema Bluetooth, lo que hace imposible generar indicaciones falsas
-
El usuario dispone siempre de una confirmación visual directa del estado de Bluetooth
Protocolo de emparejamiento y comunicación segura
Cuando Bluetooth se habilita para actualizaciones de firmware, Cuvex aplica un modelo de emparejamiento reforzado:
-
Solo se permiten Bluetooth Low Energy Secure Connections
-
Los modos de emparejamiento heredados se rechazan explícitamente
-
El método inseguro “Just Works” está deshabilitado
En su lugar, el emparejamiento requiere:
-
Protección frente a ataques MITM (Man-in-the-Middle)
-
Un PIN con entropía suficiente
-
Eliminación automática de todas las claves intercambiadas una vez finalizado el proceso de actualización
Esto evita relaciones de confianza persistentes o credenciales residuales.
Limitación de proximidad física
La potencia de transmisión de Bluetooth se limita deliberadamente:
-
El alcance efectivo es inferior a un metro
-
Esto mitiga cualquier intento de acceso remoto o descubrimiento no intencionado
Por tanto, las actualizaciones de firmware requieren proximidad física intencionada al dispositivo.
Integridad del firmware y seguridad en la actualización
Todas las actualizaciones de firmware están sujetas a verificación criptográfica de firma:
-
El bootloader verifica la firma RSA del firmware antes de su instalación
-
El firmware no firmado o alterado es rechazado
-
No es posible instalar firmware degradado o manipulado
Aunque el módulo Bluetooth ofrece funcionalidades adicionales de instalación segura de firmware a nivel de hardware, estas se encuentran deshabilitadas por defecto, reduciendo aún más la superficie de ataque.
Resumen del modelo de seguridad
El Bluetooth en Cuvex:
-
No forma parte de la superficie de ataque operativa
-
Nunca está disponible durante operaciones criptográficas
-
Existe únicamente como un canal temporal de actualización, estrictamente controlado
-
Está protegido mediante seguridad por hardware, verificación criptográfica y visibilidad física para el usuario
Este diseño permite realizar actualizaciones de firmware de forma segura sin comprometer el modelo de seguridad offline y soberano de Cuvex.