Abo
  • IT-Karriere:

ECDH: Linux-Kernel patcht bald Bluetooth-Lücke und andere

Bisher gibt es kaum Informationen zur Auswirkung der Lücke im Bluetooth-Pairing auf Linux-Systeme. Es gibt zwar einen Patch, der das Problem grundlegend löst - und damit auch für andere Verwendungszwecke als Bluetooth dienen kann. Bis der Patch die Nutzer erreicht, dauert es aber wohl noch mehrere Wochen.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Der ECDH-Schlüsselaustausch und das Bluetooth-Pairing im Linux-Kernel erhalten bald einen Patch.
Der ECDH-Schlüsselaustausch und das Bluetooth-Pairing im Linux-Kernel erhalten bald einen Patch. (Bild: Christopher Michel, Flickr.com/CC-BY 2.0)

"Versucht nicht an all die Bluetooth-Anwendungen zu denken, die sich nicht aktualisieren lassen", schreibt der Sicherheitsexperte Bruce Schneier mit Blick auf die Bluetooth-Schwachstelle mit der Nummer CVE-2018-5383. Es reicht ein Update eines der Geräte zum Schließen der Lücken, und die betroffenen Hardwarehersteller liefern bereits Updates. Üblicherweise sollten diese auch für das Host-Betriebssystem ausgeliefert werden, wie das etwa für Android bereits geschah. Microsoft gibt an, nicht betroffen zu sein. Für Nutzer von Linux-Systemen ist der Status in Bezug auf Patches und Updates derzeit aber offenbar noch nicht eindeutig geklärt.

Stellenmarkt
  1. L. STROETMANN Großverbraucher GmbH & Co. KG, Werne
  2. BWI GmbH, München, Bonn, Wilhelmshaven, Strausberg

Die Schwachstelle betrifft das Bluetooth-Pairing, dabei kommt ein Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven (ECDH) zum Einsatz, wobei Forschern zufolge in aktuellen Bluetooth-Implementierungen der Public Key nicht ausreichend genau überprüft wird. Forschern gelang es, einen Punkt mit speziellen Eigenschaften außerhalb der verwendeten Kurve einzusetzen, was es ermöglicht, das Ergebnis der Berechnungen zu erfahren, ohne dass die Geräte dies beanstanden. Anschließend konnten sie den Datenverkehr abhören.

Während Smartphone- und Hardwarehersteller wie Apple, Intel und Google bislang recht zügig Updates verteilten, herrscht bei den Linux-Distributoren Funkstille in Bezug auf CVE-2018-5383. In den Bugtrackern großer Distributoren wie Red Hat, Suse oder Ubuntu findet sich derzeit noch kein Hinweis auf den Umgang mit der Lücke. Lediglich im System von Debian wird die Lücke ohne weitere Informationen als "reserviert" geführt.

Ein Krypto-Patch ist verfügbar

Laut der Sicherheitsmeldung von Intel benötigen aber auch Nutzer von Linux-Kernels ab Version 3.19 ein Update, die eigene Firmware für die Bluetooth-Hardware hat das Unternehmen bereits gepatcht. Das Linux-Magazin fragte daher den Bluetooth-Experten und Intel-Mitarbeiter Marcel Holtmann nach den Implikationen für den Linux-Kernel.

Laut Holtmann gibt es bereits einen Patch für das Krypto-Subsystem des Kernels. Dieser führt einen Verifikationstest der Public Keys für ECDH ein. Im Fall von Bluetooth fehlten dem Hashwert, der für das Pairing erzeugt wird, bislang die Daten der Y-Koordinate des Public Key. "Warum nur die X-Koordinate in den Hash kam, kann man nach über 11 Jahren nur noch schwer nachvollziehen", schreibt Holtmann in einer E-Mail. Der Patch für die Dateien ecc.c und ecc_curve_defs.h schließt diese Lücke, ergänzt einen Test und steckt inzwischen im Zweig des Kernel-Entwicklers Herbert Xu, der als ein Co-Maintainer den Kryptozweig des Kernels betreut.

Interessant an dem Kernel-Patch ist darüber hinaus, dass damit nicht nur die Schwachstelle in Bluetooth behoben wird, sondern wohl prinzipiell alle ähnlichen Fehler, die ECDH und die Krypto-Routinen im Kernel nutzen. Der Patch selbst verweist auch nicht direkt auf die Bluetooth-Lücke, sondern auf einen NIST-Standard, der zuletzt im April 2018 aktualisiert wurde und die Überprüfung der ECDH-Koordinaten vorsieht.

Ob und inwiefern die Aktualisierung des NIST-Standards mit dem Auffinden der Bluetooth-Lücke in Verbindung steht, ist derzeit unklar. Ebenso wenig bekannt ist, ob der Kernel-Patch im Wissen um die Bluetooth-Lücke erstellt wurde oder nur zufällig das zugrundeliegende Problem der fehlenden Überprüfung löst.

Langer Weg bis zum Nutzer

Dass Kernel-Betreuer Xu den Patch akzeptierte, bedeutet außerdem nicht automatisch, dass er nun noch schnell in Linux 4.18 wandert, der aktuell in Arbeit ist und vermutlich in einer Woche erscheint. In der Regel behandeln die Kernel-Entwickler weniger schwerwiegende Sicherheits-Bugs nicht anders als reguläre Bugs, die dann später eventuell von der Kernel-Community oder den Linux-Distributionen zurückportiert werden.

Wahrscheinlich besteht eine Chance, dass die Maintainer des Krypto-Subsystems den erwähnten Patch im Merge-Window für Kernel 4.19 einreichen. Anschließend dürfte es noch etwas dauern, bis die Distributoren auch die Kernel ihrer Distributionen patchen.



Anzeige
Spiele-Angebote
  1. 0,49€
  2. 3,99€
  3. 0,49€
  4. 2,99€

Folgen Sie uns
       


Sekiro - Test

Ein einsamer Kämpfer und sein Katana stehen im Mittelpunkt von Sekiro - Shadows Die Twice. Das Actionspiel von From Software schickt Spieler in ein spannendes Abenteuer voller Herausforderungen.

Sekiro - Test Video aufrufen
Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. Eon-Studie Netzausbau kostet maximal 400 Euro pro Elektroauto
  2. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  3. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten

    •  /