Super, vielen herzlichen Dank für die Hinweise! Ich habe beide Buttons erfolgreich mit der BLE Debug App verschlüsselt (und auch gleich die Firmware aktualisiert) und dann die AES-keys im Webinterface hinterlegt. Es funktioniert alles und ist somit nun auch wirklich sicher. Bin super happy! 
Ich frage mich allerdings, ob nicht so mancher diesen Schritt übersieht und sein Garagentor damit dann doch relativ unsicher geschützt lässt.
Wollte nur kurz noch berichten, dass alles bestens funktioniert. Vom Android-Handy aus kann ich das Garagentor mit einem curl-Befehl schalten, den ich mit Termux sende und mit Termux-Widget direkt vom Home Screen aufrufen kann.
Ich habe zwei BlueButtons angemeldet und die schalten das Tor über eine "local Action".
Alles funktioniert zuverlässig (und nun auch an einem Shelly 1 Gen3 und nicht mehr Mini)! 
Ob die Bluetooth-Verbindung zwischen Button und Shelly verschlüsselt und authentifiziert ist, weiß ich leider nicht (wie könnte ich das überprüfen?). Falls nicht, könnte man möglicherweise die Bluetooth MAC-Adresse spoofen und so die Garage öffnen. Aber das ist wohl eher ein theoretisches Risiko. Da waren die vorheringen 46,85 MHz Handsender mit einem statischen Code aus einer Auswahl aus 1024 möglichen Größenordngen unsicherer. 
Edit: Wie ich gerade festgestellt habe, hatte der Shelly offenbar in dem Moment, als ich über sein Webinterface die BluButtons per "Bluetooth Home"-Funktion angemeldet hatte, auch das "Bluetooth Gateway" aktiviert. Wenn ich dieses deaktiviere, funktioniert die Bedienung per Bluetooth Button *nicht*. Ich hoffe, da ich unter "Authentication" ein Passwort gesetzt habe, ist dies keine Sicherheitslücke.
Edit2: Von der Shelly BLE Debug App wird der Shelly 1 Gen 3 trotz aktivem Bluetooth Gateway *nicht* angezeigt. Wenn ich den BluButton auslöse, wird er von der App angezeigt. Unter "Secure" steht "false". Also verschlüsselt ist da nix. Insofern von der Sicherheit vermutlich ok (der Shelly bläst nicht alle möglichen Infos in die Gegend, soweit ich das sehe), aber nicht optimal (der BluButton kommuniziert über eine unverschlüsselte Verbindung ohne Authentifizierung; vermutlich kann man z.B. mit einem RasPi die BT-MAC-Adresse spoofen und wenn man dann das richtige Paket sendet, geht die Garage auf ... schade).
Wow, vielen Dank, das ist super! Ich werde den Mini demnächst austauschen und dann vermutlich auch noch einen BluButton kaufen. Toll, dass es funktioniert!
Hmmm, kannst Du mir dazu eine Quelle nennen/verlinken? In der Anleitung von Shelly steht dazu nichts - im Gegenteil, da werden ja gerade die "Trockenkontakte" in den Vordergrund gestellt. Oder habe ich das übersehen?
Edit: Ok, ich hab's gefunden, steht auch z.B. hier: https://community.shelly.cloud/topic/7938-she…-kleinspannung/
Finde ich aber schon hart, weil der 1 Mini ja explizit mit "Garagentor" beworben wird. Na dann werde ich ihn wohl durch einen 1 Plus ersetzen, auch wenn ich das jetzt relativ ärgerlich finde ... Den kann ich dann mit 230 V speisen und das ist "sicher", damit den Garagentormotor zu schalten, richtig?
Würde mich sehr freuen, wenn Du es testen könntest, vielen herzlichen Dank!
Mal noch ne andere Sache. Shelly Mini 1 Gen3 für Garagensteuerung wird nicht gehn. Da müsstest du einen Shelly 1 Gen3 nehmen. Den habe ich allerdings nicht zum testen. Den mini schon.
Warum meinst Du, das würde nicht gehen? Ist bereits montiert und funktioniert einwandfrei (bisher halt ohne Bluetooth).
Vielen Dank für den Hinweis! Das mit dem HTTP Get Request mit user:pass geht aber nur, wenn der Aufruf lokal auf dem Shelly selbst abgesetzt wird, oder?
Ich hatte hier
nämlich gelesen, dass diese Syntax nicht mehr funktioniert - oder bezieht sich das nur auf Aufrufe von "extern" (also anderen IPs)?
Laut dem Thread geht Authentifizierung von extern mit "curl" aber weiterhin. Dann könnte ich mir auf dem Handy also ein Skript für "Termux" hinterlegen, das mit Curl den HTTP Get Request macht, und davon einen Shortcut auf den Homescreen für schnellen Aufruf. Sollte gehen, oder?
Ich habe den Blu Button noch nicht gekauft, sondern möchte erstmal herausfinden, ob ich das sicher konfigurieren kann ...
Ich stimme aber zu, dass es generell sinnvoller wäre, den Zugang zum Web-Interface und den HTTP Get Requests separat von der Verschlüsselung des Bluetooth-Funks konfigurieren zu können.
Ich habe gerade auch nochmal mit der App "nrf Connect" gescannt. Diese zeigt mir einen Haufen BLE-Geräte an, der Shelly ist nicht dabei (habe nach seiner MAC-Adresse geschaut). Auch wenn ich unter Android nach Geräten zum Koppeln suche, wird der Shelly nicht angezeigt. Sieht für mich also alles "unkritisch" aus, solange man nur Bluetooth aktiviert, aber weder RPC noch Gateway!?
Nochmal eine Nachfrage: Wenn ich nur "Enable Bluetooth" setze, also die erste Option einschalte, aber die anderen beiden Optionen aus lasse, und kein Gerätepasswort setze, wäre das dann eine unsichere Konfiguration oder nicht?
Mit der Shelly BLE Debug-App wurde in dieser Konstellation mein Shelly Mini 1 Gen3 jedenfalls gar nicht gefunden/angezeigt.
Ich würde nämlich gerne mein Garagentor mit einem ShellyBLU Button1 schalten, dafür müsste ich am Mini 1 Gen3 logischerweise Bluetooth aktivieren und wollte dann mit einem Skript per HTTP Get Request das Relais schalten. (Was aber meines Wissens nicht mehr geht, sobald ein Gerätepasswort gesetzt ist.)
Selbst wenn diese Konfiguration sicher wäre, wäre wohl keine Verschlüsselung der Bluetooth-Verbindung vorhanden? Aber ich würde auf die MAC-Adresse des Buttons filtern. (Die könnte man vermutlich irgendwie spoofen, aber das ist vielleicht jetzt eher ein theoretisches Problem.)
