Abo
  • Services:

ECDH: Linux-Kernel patcht bald Bluetooth-Lücke und andere

Bisher gibt es kaum Informationen zur Auswirkung der Lücke im Bluetooth-Pairing auf Linux-Systeme. Es gibt zwar einen Patch, der das Problem grundlegend löst - und damit auch für andere Verwendungszwecke als Bluetooth dienen kann. Bis der Patch die Nutzer erreicht, dauert es aber wohl noch mehrere Wochen.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Der ECDH-Schlüsselaustausch und das Bluetooth-Pairing im Linux-Kernel erhalten bald einen Patch.
Der ECDH-Schlüsselaustausch und das Bluetooth-Pairing im Linux-Kernel erhalten bald einen Patch. (Bild: Christopher Michel, Flickr.com/CC-BY 2.0)

"Versucht nicht an all die Bluetooth-Anwendungen zu denken, die sich nicht aktualisieren lassen", schreibt der Sicherheitsexperte Bruce Schneier mit Blick auf die Bluetooth-Schwachstelle mit der Nummer CVE-2018-5383. Es reicht ein Update eines der Geräte zum Schließen der Lücken, und die betroffenen Hardwarehersteller liefern bereits Updates. Üblicherweise sollten diese auch für das Host-Betriebssystem ausgeliefert werden, wie das etwa für Android bereits geschah. Microsoft gibt an, nicht betroffen zu sein. Für Nutzer von Linux-Systemen ist der Status in Bezug auf Patches und Updates derzeit aber offenbar noch nicht eindeutig geklärt.

Stellenmarkt
  1. Elektronische Fahrwerksysteme GmbH, Ingolstadt
  2. Byton GmbH, Ismaning

Die Schwachstelle betrifft das Bluetooth-Pairing, dabei kommt ein Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven (ECDH) zum Einsatz, wobei Forschern zufolge in aktuellen Bluetooth-Implementierungen der Public Key nicht ausreichend genau überprüft wird. Forschern gelang es, einen Punkt mit speziellen Eigenschaften außerhalb der verwendeten Kurve einzusetzen, was es ermöglicht, das Ergebnis der Berechnungen zu erfahren, ohne dass die Geräte dies beanstanden. Anschließend konnten sie den Datenverkehr abhören.

Während Smartphone- und Hardwarehersteller wie Apple, Intel und Google bislang recht zügig Updates verteilten, herrscht bei den Linux-Distributoren Funkstille in Bezug auf CVE-2018-5383. In den Bugtrackern großer Distributoren wie Red Hat, Suse oder Ubuntu findet sich derzeit noch kein Hinweis auf den Umgang mit der Lücke. Lediglich im System von Debian wird die Lücke ohne weitere Informationen als "reserviert" geführt.

Ein Krypto-Patch ist verfügbar

Laut der Sicherheitsmeldung von Intel benötigen aber auch Nutzer von Linux-Kernels ab Version 3.19 ein Update, die eigene Firmware für die Bluetooth-Hardware hat das Unternehmen bereits gepatcht. Das Linux-Magazin fragte daher den Bluetooth-Experten und Intel-Mitarbeiter Marcel Holtmann nach den Implikationen für den Linux-Kernel.

Laut Holtmann gibt es bereits einen Patch für das Krypto-Subsystem des Kernels. Dieser führt einen Verifikationstest der Public Keys für ECDH ein. Im Fall von Bluetooth fehlten dem Hashwert, der für das Pairing erzeugt wird, bislang die Daten der Y-Koordinate des Public Key. "Warum nur die X-Koordinate in den Hash kam, kann man nach über 11 Jahren nur noch schwer nachvollziehen", schreibt Holtmann in einer E-Mail. Der Patch für die Dateien ecc.c und ecc_curve_defs.h schließt diese Lücke, ergänzt einen Test und steckt inzwischen im Zweig des Kernel-Entwicklers Herbert Xu, der als ein Co-Maintainer den Kryptozweig des Kernels betreut.

Interessant an dem Kernel-Patch ist darüber hinaus, dass damit nicht nur die Schwachstelle in Bluetooth behoben wird, sondern wohl prinzipiell alle ähnlichen Fehler, die ECDH und die Krypto-Routinen im Kernel nutzen. Der Patch selbst verweist auch nicht direkt auf die Bluetooth-Lücke, sondern auf einen NIST-Standard, der zuletzt im April 2018 aktualisiert wurde und die Überprüfung der ECDH-Koordinaten vorsieht.

Ob und inwiefern die Aktualisierung des NIST-Standards mit dem Auffinden der Bluetooth-Lücke in Verbindung steht, ist derzeit unklar. Ebenso wenig bekannt ist, ob der Kernel-Patch im Wissen um die Bluetooth-Lücke erstellt wurde oder nur zufällig das zugrundeliegende Problem der fehlenden Überprüfung löst.

Langer Weg bis zum Nutzer

Dass Kernel-Betreuer Xu den Patch akzeptierte, bedeutet außerdem nicht automatisch, dass er nun noch schnell in Linux 4.18 wandert, der aktuell in Arbeit ist und vermutlich in einer Woche erscheint. In der Regel behandeln die Kernel-Entwickler weniger schwerwiegende Sicherheits-Bugs nicht anders als reguläre Bugs, die dann später eventuell von der Kernel-Community oder den Linux-Distributionen zurückportiert werden.

Wahrscheinlich besteht eine Chance, dass die Maintainer des Krypto-Subsystems den erwähnten Patch im Merge-Window für Kernel 4.19 einreichen. Anschließend dürfte es noch etwas dauern, bis die Distributoren auch die Kernel ihrer Distributionen patchen.



Anzeige
Top-Angebote
  1. 79,99€ (erscheint am 10. April)
  2. (pay what you want ab 0,88€)
  3. 99,99€ (versandkostenfrei)
  4. (u. a. 32 GB 6,98€, 128 GB 23,58€)

Folgen Sie uns
       


Huawei zu Spionagevorwürfen im Golem.de Interview

Der deutsche Pressesprecher von Huawei erklärt den Umgang mit Spionagevorwürfen.

Huawei zu Spionagevorwürfen im Golem.de Interview Video aufrufen
Windenergie: Mister Windkraft will die Welt vor dem Klimakollaps retten
Windenergie
Mister Windkraft will die Welt vor dem Klimakollaps retten

Fast 200 Windkraft-Patente tragen den Namen von Henrik Stiesdal. Nachdem er bei Siemens als Technikchef ausgestiegen ist, will der Däne nun die Stromerzeugung auf See revolutionieren.
Ein Bericht von Daniel Hautmann

  1. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  2. Fistuca Der Wasserhammer hämmert leise
  3. Windenergie Wie umweltfreundlich sind Offshore-Windparks?

Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Display-Technik: So funktionieren Micro-LEDs
Display-Technik
So funktionieren Micro-LEDs

Nach Flüssigkristallanzeigen (LCD) mit Hintergrundbeleuchtung und OLED-Bildschirmen sind Micro-LEDs der nächste Schritt: Apple arbeitet daran für Smartwatches und Samsung hat bereits einen Fernseher vorgestellt. Die Technik hat viele Vorteile, ist aber aufwendig in der Fertigung.
Von Mike Wobker

  1. AU Optronics Apple soll Wechsel von OLEDs zu Micro-LEDs vorbereiten

    •  /