Abo
  • Services:

ECDH: Linux-Kernel patcht bald Bluetooth-Lücke und andere

Bisher gibt es kaum Informationen zur Auswirkung der Lücke im Bluetooth-Pairing auf Linux-Systeme. Es gibt zwar einen Patch, der das Problem grundlegend löst - und damit auch für andere Verwendungszwecke als Bluetooth dienen kann. Bis der Patch die Nutzer erreicht, dauert es aber wohl noch mehrere Wochen.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Der ECDH-Schlüsselaustausch und das Bluetooth-Pairing im Linux-Kernel erhalten bald einen Patch.
Der ECDH-Schlüsselaustausch und das Bluetooth-Pairing im Linux-Kernel erhalten bald einen Patch. (Bild: Christopher Michel, Flickr.com/CC-BY 2.0)

"Versucht nicht an all die Bluetooth-Anwendungen zu denken, die sich nicht aktualisieren lassen", schreibt der Sicherheitsexperte Bruce Schneier mit Blick auf die Bluetooth-Schwachstelle mit der Nummer CVE-2018-5383. Es reicht ein Update eines der Geräte zum Schließen der Lücken, und die betroffenen Hardwarehersteller liefern bereits Updates. Üblicherweise sollten diese auch für das Host-Betriebssystem ausgeliefert werden, wie das etwa für Android bereits geschah. Microsoft gibt an, nicht betroffen zu sein. Für Nutzer von Linux-Systemen ist der Status in Bezug auf Patches und Updates derzeit aber offenbar noch nicht eindeutig geklärt.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Die Schwachstelle betrifft das Bluetooth-Pairing, dabei kommt ein Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven (ECDH) zum Einsatz, wobei Forschern zufolge in aktuellen Bluetooth-Implementierungen der Public Key nicht ausreichend genau überprüft wird. Forschern gelang es, einen Punkt mit speziellen Eigenschaften außerhalb der verwendeten Kurve einzusetzen, was es ermöglicht, das Ergebnis der Berechnungen zu erfahren, ohne dass die Geräte dies beanstanden. Anschließend konnten sie den Datenverkehr abhören.

Während Smartphone- und Hardwarehersteller wie Apple, Intel und Google bislang recht zügig Updates verteilten, herrscht bei den Linux-Distributoren Funkstille in Bezug auf CVE-2018-5383. In den Bugtrackern großer Distributoren wie Red Hat, Suse oder Ubuntu findet sich derzeit noch kein Hinweis auf den Umgang mit der Lücke. Lediglich im System von Debian wird die Lücke ohne weitere Informationen als "reserviert" geführt.

Ein Krypto-Patch ist verfügbar

Laut der Sicherheitsmeldung von Intel benötigen aber auch Nutzer von Linux-Kernels ab Version 3.19 ein Update, die eigene Firmware für die Bluetooth-Hardware hat das Unternehmen bereits gepatcht. Das Linux-Magazin fragte daher den Bluetooth-Experten und Intel-Mitarbeiter Marcel Holtmann nach den Implikationen für den Linux-Kernel.

Laut Holtmann gibt es bereits einen Patch für das Krypto-Subsystem des Kernels. Dieser führt einen Verifikationstest der Public Keys für ECDH ein. Im Fall von Bluetooth fehlten dem Hashwert, der für das Pairing erzeugt wird, bislang die Daten der Y-Koordinate des Public Key. "Warum nur die X-Koordinate in den Hash kam, kann man nach über 11 Jahren nur noch schwer nachvollziehen", schreibt Holtmann in einer E-Mail. Der Patch für die Dateien ecc.c und ecc_curve_defs.h schließt diese Lücke, ergänzt einen Test und steckt inzwischen im Zweig des Kernel-Entwicklers Herbert Xu, der als ein Co-Maintainer den Kryptozweig des Kernels betreut.

Interessant an dem Kernel-Patch ist darüber hinaus, dass damit nicht nur die Schwachstelle in Bluetooth behoben wird, sondern wohl prinzipiell alle ähnlichen Fehler, die ECDH und die Krypto-Routinen im Kernel nutzen. Der Patch selbst verweist auch nicht direkt auf die Bluetooth-Lücke, sondern auf einen NIST-Standard, der zuletzt im April 2018 aktualisiert wurde und die Überprüfung der ECDH-Koordinaten vorsieht.

Ob und inwiefern die Aktualisierung des NIST-Standards mit dem Auffinden der Bluetooth-Lücke in Verbindung steht, ist derzeit unklar. Ebenso wenig bekannt ist, ob der Kernel-Patch im Wissen um die Bluetooth-Lücke erstellt wurde oder nur zufällig das zugrundeliegende Problem der fehlenden Überprüfung löst.

Langer Weg bis zum Nutzer

Dass Kernel-Betreuer Xu den Patch akzeptierte, bedeutet außerdem nicht automatisch, dass er nun noch schnell in Linux 4.18 wandert, der aktuell in Arbeit ist und vermutlich in einer Woche erscheint. In der Regel behandeln die Kernel-Entwickler weniger schwerwiegende Sicherheits-Bugs nicht anders als reguläre Bugs, die dann später eventuell von der Kernel-Community oder den Linux-Distributionen zurückportiert werden.

Wahrscheinlich besteht eine Chance, dass die Maintainer des Krypto-Subsystems den erwähnten Patch im Merge-Window für Kernel 4.19 einreichen. Anschließend dürfte es noch etwas dauern, bis die Distributoren auch die Kernel ihrer Distributionen patchen.



Anzeige
Spiele-Angebote
  1. 9,95€
  2. 2,99€
  3. 13,49€
  4. 19,99€

Folgen Sie uns
       


Magic Leap One Creator Edition ausprobiert

Mit der One Creator Edition hat Magic Leap endlich seine seit Jahren angekündigte AR-Brille veröffentlicht. In Teilbereichen ist sie besser als Microsofts Hololens, in anderen aber schlechter.

Magic Leap One Creator Edition ausprobiert Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    •  /