• IT-Karriere:
  • Services:

ECDH: Linux-Kernel patcht bald Bluetooth-Lücke und andere

Bisher gibt es kaum Informationen zur Auswirkung der Lücke im Bluetooth-Pairing auf Linux-Systeme. Es gibt zwar einen Patch, der das Problem grundlegend löst - und damit auch für andere Verwendungszwecke als Bluetooth dienen kann. Bis der Patch die Nutzer erreicht, dauert es aber wohl noch mehrere Wochen.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Der ECDH-Schlüsselaustausch und das Bluetooth-Pairing im Linux-Kernel erhalten bald einen Patch.
Der ECDH-Schlüsselaustausch und das Bluetooth-Pairing im Linux-Kernel erhalten bald einen Patch. (Bild: Christopher Michel, Flickr.com/CC-BY 2.0)

"Versucht nicht an all die Bluetooth-Anwendungen zu denken, die sich nicht aktualisieren lassen", schreibt der Sicherheitsexperte Bruce Schneier mit Blick auf die Bluetooth-Schwachstelle mit der Nummer CVE-2018-5383. Es reicht ein Update eines der Geräte zum Schließen der Lücken, und die betroffenen Hardwarehersteller liefern bereits Updates. Üblicherweise sollten diese auch für das Host-Betriebssystem ausgeliefert werden, wie das etwa für Android bereits geschah. Microsoft gibt an, nicht betroffen zu sein. Für Nutzer von Linux-Systemen ist der Status in Bezug auf Patches und Updates derzeit aber offenbar noch nicht eindeutig geklärt.

Stellenmarkt
  1. Börse Stuttgart GmbH, Stuttgart
  2. über Hays AG, Berlin

Die Schwachstelle betrifft das Bluetooth-Pairing, dabei kommt ein Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven (ECDH) zum Einsatz, wobei Forschern zufolge in aktuellen Bluetooth-Implementierungen der Public Key nicht ausreichend genau überprüft wird. Forschern gelang es, einen Punkt mit speziellen Eigenschaften außerhalb der verwendeten Kurve einzusetzen, was es ermöglicht, das Ergebnis der Berechnungen zu erfahren, ohne dass die Geräte dies beanstanden. Anschließend konnten sie den Datenverkehr abhören.

Während Smartphone- und Hardwarehersteller wie Apple, Intel und Google bislang recht zügig Updates verteilten, herrscht bei den Linux-Distributoren Funkstille in Bezug auf CVE-2018-5383. In den Bugtrackern großer Distributoren wie Red Hat, Suse oder Ubuntu findet sich derzeit noch kein Hinweis auf den Umgang mit der Lücke. Lediglich im System von Debian wird die Lücke ohne weitere Informationen als "reserviert" geführt.

Ein Krypto-Patch ist verfügbar

Laut der Sicherheitsmeldung von Intel benötigen aber auch Nutzer von Linux-Kernels ab Version 3.19 ein Update, die eigene Firmware für die Bluetooth-Hardware hat das Unternehmen bereits gepatcht. Das Linux-Magazin fragte daher den Bluetooth-Experten und Intel-Mitarbeiter Marcel Holtmann nach den Implikationen für den Linux-Kernel.

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    19./20. April 2021, online
  2. Terraform mit AWS
    4./5. Mai 2021, online
Weitere IT-Trainings

Laut Holtmann gibt es bereits einen Patch für das Krypto-Subsystem des Kernels. Dieser führt einen Verifikationstest der Public Keys für ECDH ein. Im Fall von Bluetooth fehlten dem Hashwert, der für das Pairing erzeugt wird, bislang die Daten der Y-Koordinate des Public Key. "Warum nur die X-Koordinate in den Hash kam, kann man nach über 11 Jahren nur noch schwer nachvollziehen", schreibt Holtmann in einer E-Mail. Der Patch für die Dateien ecc.c und ecc_curve_defs.h schließt diese Lücke, ergänzt einen Test und steckt inzwischen im Zweig des Kernel-Entwicklers Herbert Xu, der als ein Co-Maintainer den Kryptozweig des Kernels betreut.

Interessant an dem Kernel-Patch ist darüber hinaus, dass damit nicht nur die Schwachstelle in Bluetooth behoben wird, sondern wohl prinzipiell alle ähnlichen Fehler, die ECDH und die Krypto-Routinen im Kernel nutzen. Der Patch selbst verweist auch nicht direkt auf die Bluetooth-Lücke, sondern auf einen NIST-Standard, der zuletzt im April 2018 aktualisiert wurde und die Überprüfung der ECDH-Koordinaten vorsieht.

Ob und inwiefern die Aktualisierung des NIST-Standards mit dem Auffinden der Bluetooth-Lücke in Verbindung steht, ist derzeit unklar. Ebenso wenig bekannt ist, ob der Kernel-Patch im Wissen um die Bluetooth-Lücke erstellt wurde oder nur zufällig das zugrundeliegende Problem der fehlenden Überprüfung löst.

Langer Weg bis zum Nutzer

Dass Kernel-Betreuer Xu den Patch akzeptierte, bedeutet außerdem nicht automatisch, dass er nun noch schnell in Linux 4.18 wandert, der aktuell in Arbeit ist und vermutlich in einer Woche erscheint. In der Regel behandeln die Kernel-Entwickler weniger schwerwiegende Sicherheits-Bugs nicht anders als reguläre Bugs, die dann später eventuell von der Kernel-Community oder den Linux-Distributionen zurückportiert werden.

Wahrscheinlich besteht eine Chance, dass die Maintainer des Krypto-Subsystems den erwähnten Patch im Merge-Window für Kernel 4.19 einreichen. Anschließend dürfte es noch etwas dauern, bis die Distributoren auch die Kernel ihrer Distributionen patchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


Peloton - Fazit

Im Video stellt Golem.de-Redakteur Peter Steinlechner das Bike+ von Peloton vor. Mit dem Spinning-Rad können Sportler fast schon ein eigenes Fitnessstudio in ihrer Wohnung einrichten.

Peloton - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /