AI News HubLIVE
站內改寫2 分鐘閱讀

Show HN:我構建了一個加密的BLE加密狗,用於向氣隙裝置貼上內容

ToothPaste是一個開源專案,透過加密的藍牙低功耗(BLE)加密狗,實現向任何USB相容裝置無線傳輸鍵盤和滑鼠命令,無需安裝驅動程式或進行復雜設定。它使用AES-256加密、ECDH金鑰交換和ATECC608B加密協處理器,確保安全通訊。支援透過Web BLE輕鬆控制,並整合了AI代理功能。

來源Hacker News AI作者: Brisk4t

ToothPaste是一個創新性的開源硬體專案,旨在解決向氣隙裝置或僅支援鍵盤輸入的裝置(如BIOS、嵌入式系統)傳輸敏感資訊的難題。其核心是一個基於ESP32-S3微控制器的USB加密狗,透過藍牙低功耗(BLE)接收加密的鍵盤和滑鼠命令,並透過USB HID協議模擬物理裝置,從而實現無線控制。專案的核心思想是消除在一次性場景中需要複雜登入流程的麻煩,例如在BIOS設定、氣隙系統或不便安裝密碼管理器的公共計算機上輸入密碼。傳統的解決方案如KDE Connect需要雙方都執行相容作業系統並安裝軟體,而ToothPaste利用了USB HID標準——幾乎任何USB主機相容裝置都支援鍵盤輸入,且鍵盤預設被系統信任。

專案採用了多層安全架構。藍牙連線本身並非絕對安全,但ToothPaste透過ECDH公鑰加密和部分帶外(OOB)金鑰交換,生成會話特有的AES-256金鑰,用於加密所有傳輸的資料包。此外,V2版本整合了Microchip ATECC608B加密認證晶片,將私鑰生成和儲存於獨立的隔離區域,即使物理攻擊者讀取ESP32的快閃記憶體也無法提取憑證。這確保了即使裝置落入他人之手,金鑰也不會洩露。ToothPaste完全本地執行,無需任何雲端服務,同時支援使用密碼與Argon2金鑰派生函式加密瀏覽器中儲存的本地資料,包括宏和Ducky指令碼。

使用ToothPaste極為簡便。使用者可以透過Web BLE應用(基於Chromium瀏覽器如Chrome、Edge、Brave)直接連線加密狗,無需安裝任何專用軟體。專案提供了Web序列埠刷寫工具,可一鍵更新韌體。對於高階使用者,也支援從原始碼構建,但需要安裝ESP-IDF和相關的編譯工具鏈。硬體方面,ToothPaste V2的PCB由PCBWay贊助生產,整合了USB-C或USB-A介面,並經過專業組裝和測試。韌體支援完整的鍵盤滑鼠功能,甚至包括BIOS級別的輸入。V2版本相比V1,最大的改進是增加了硬體安全晶片,將憑據儲存從軟體繫結升級為硬體繫結。

專案還探索了AI整合。透過ToothPasteDesktop的Rust TUI和MCP伺服器,AI代理可以控制加密狗並接收遠端系統的序列埠反饋,實現類似SSH的自動化操作。目前受限於ESP32-S3的USB端點數量,尚無法同時實現虛擬序列埠和完整HID功能——現有端點被BOOT鍵盤、BOOT滑鼠、通用HID和控制描述符佔用,必須犧牲其一才能啟用USB CDC序列埠裝置。未來計劃增加USB Mass Storage類支援,使ToothPaste能夠截圖和傳輸檔案,成為類似PiKVM的BLE版IP-KVM解決方案。