AI News HubLIVE
站内改写2 分钟阅读

Show HN:我构建了一个加密的BLE加密狗,用于向气隙设备粘贴内容

ToothPaste是一个开源项目,通过加密的蓝牙低功耗(BLE)加密狗,实现向任何USB兼容设备无线传输键盘和鼠标命令,无需安装驱动程序或进行复杂设置。它使用AES-256加密、ECDH密钥交换和ATECC608B加密协处理器,确保安全通信。支持通过Web BLE轻松控制,并集成了AI代理功能。

来源Hacker News AI作者: Brisk4t

ToothPaste是一个创新性的开源硬件项目,旨在解决向气隙设备或仅支持键盘输入的设备(如BIOS、嵌入式系统)传输敏感信息的难题。其核心是一个基于ESP32-S3微控制器的USB加密狗,通过蓝牙低功耗(BLE)接收加密的键盘和鼠标命令,并通过USB HID协议模拟物理设备,从而实现无线控制。项目的核心思想是消除在一次性场景中需要复杂登录流程的麻烦,例如在BIOS设置、气隙系统或不便安装密码管理器的公共计算机上输入密码。传统的解决方案如KDE Connect需要双方都运行兼容操作系统并安装软件,而ToothPaste利用了USB HID标准——几乎任何USB主机兼容设备都支持键盘输入,且键盘默认被系统信任。

项目采用了多层安全架构。蓝牙连接本身并非绝对安全,但ToothPaste通过ECDH公钥加密和部分带外(OOB)密钥交换,生成会话特有的AES-256密钥,用于加密所有传输的数据包。此外,V2版本集成了Microchip ATECC608B加密认证芯片,将私钥生成和存储于独立的隔离区域,即使物理攻击者读取ESP32的闪存也无法提取凭证。这确保了即使设备落入他人之手,密钥也不会泄露。ToothPaste完全本地运行,无需任何云端服务,同时支持使用密码与Argon2密钥派生函数加密浏览器中存储的本地数据,包括宏和Ducky脚本。

使用ToothPaste极为简便。用户可以通过Web BLE应用(基于Chromium浏览器如Chrome、Edge、Brave)直接连接加密狗,无需安装任何专用软件。项目提供了Web串口刷写工具,可一键更新固件。对于高级用户,也支持从源代码构建,但需要安装ESP-IDF和相关的编译工具链。硬件方面,ToothPaste V2的PCB由PCBWay赞助生产,集成了USB-C或USB-A接口,并经过专业组装和测试。固件支持完整的键盘鼠标功能,甚至包括BIOS级别的输入。V2版本相比V1,最大的改进是增加了硬件安全芯片,将凭据存储从软件绑定升级为硬件绑定。

项目还探索了AI集成。通过ToothPasteDesktop的Rust TUI和MCP服务器,AI代理可以控制加密狗并接收远程系统的串口反馈,实现类似SSH的自动化操作。目前受限于ESP32-S3的USB端点数量,尚无法同时实现虚拟串口和完整HID功能——现有端点被BOOT键盘、BOOT鼠标、通用HID和控制描述符占用,必须牺牲其一才能启用USB CDC串口设备。未来计划增加USB Mass Storage类支持,使ToothPaste能够截图和传输文件,成为类似PiKVM的BLE版IP-KVM解决方案。