• IT-Karriere:
  • Services:

KNOB-Angriff: 8-Bit-Verschlüsselung mit Bluetooth

Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.

Artikel veröffentlicht am ,
Mit diesem Supercomputer könnte man einen Angriff auf die 8-Bit-Verschlüsselung des Bluetooth-Protokolls durchführen.
Mit diesem Supercomputer könnte man einen Angriff auf die 8-Bit-Verschlüsselung des Bluetooth-Protokolls durchführen. (Bild: Pixabay / Pexels/CC0 1.0)

Die Verschlüsselungsfunktion des Bluetooth-Standards lässt sich mit einem sehr einfachen Angriff aushebeln. Der Kern des Angriffs: Die Länge des Schlüssels lässt sich auf ein Byte reduzieren, der entsprechende Teil des Protokolls ist nicht authentifiziert und kann damit von einem Angreifer manipuliert werden. Anschließend ist es trivial, den korrekten Schlüssel durch reines Ausprobieren herauszufinden.

Stellenmarkt
  1. Meibes System-Technik GmbH, Gerichshain
  2. Sanner GmbH, Bensheim bei Darmstadt

Die Entdecker haben ihre Methode KNOB-Angriff getauft (Key Negotiation of Bluetooth Attack). Vorgestellt wurden die Ergebnisse auf der Usenix-Konferenz in Santa Clara in den USA.

Im Bluetooth-Standard gibt es eine optionale Verschlüsselung, die abgesicherte Verbindungen ermöglichen soll. Dabei wird zwischen zwei Geräten ein Schlüssel ausgehandelt. Das Protokoll sieht hier vor, dass ein Kommunikationspartner eine maximale Schlüssellänge vorschlägt, die zwischen 1 und 16 Byte lang sein kann. Der andere Kommunikationspartner kann diese anschließend akzeptieren oder eine kürzere Schlüssellänge setzen.

Schlüsselaushandlung ist unauthentifiziert und lässt sich manipulieren

Diese Nachrichten, die Teil des sogenannten Link Manager Protocol (LMP) sind, haben dabei keinerlei Authentifizierung oder Integritätsschutz. Das bedeutet, dass ein Man-in-the-Middle-Angreifer diese Nachrichten nach Belieben manipulieren kann. Somit ist der Angriff geradezu erschreckend leicht: Ein Angreifer sorgt dafür, dass die Schlüssellänge auf ihr Minimum - ein Byte - reduziert wird. Anschließend kann der Angreifer den entsprechenden Schlüssel durch reines Ausprobieren knacken - es gibt nur 256 verschiedene Möglichkeiten.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Der Angriff bezieht sich auf einen Teil des Bluetooth-Protokolls, der üblicherweise komplett in der Firmware eines Geräts implementiert wird. Damit ist er für Applikationen oder das Betriebssystem im Normalfall nicht erkennbar. Da der Angriff auf völlig standardkonformem Verhalten basiert, funktioniert er mit nahezu allen Bluetooth-Geräten.

Um den Angriff praktisch durchzuführen, gibt es eine praktische Hürde: Ein Angreifer muss in der Lage sein, die Funknachrichten zwischen zwei Bluetooth-Geräten zu manipulieren. Dafür muss er nicht nur eigene Nachrichten senden, er muss auch durch beispielsweise entsprechende Störungen verhindern, dass die legitimen Nachrichten beim Empfänger ankommen. Diesen Teil des Angriffs haben seine Entdecker nicht implementiert, sie haben einen Man-in-the-Middle-Angriff durch eine modifizierte Firmware simuliert.

Die Entdecker des Angriffs haben mehrere Geräte getestet und dabei lediglich ein Gerät gefunden, das solche absurd kurzen Schlüssel nicht akzeptiert. Der Bluetooth-Chip in Apples Airpod verlangt eine minimale Schlüssellänge von sieben Byte oder 56 Bit.

Sicher ist das auch nicht. 56 Bit ist die Schlüssellänge, die beispielsweise der Data Encryption Standard (DES) aus den 70er Jahren verwendet hat. Bereits 1999 konnte die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) zeigen, dass sich solch kurze Schlüssel praktisch mit Bruteforce-Angriffen brechen lassen. Sprich: Der Angriff wäre weiterhin möglich, er würde nur einen relativ hohen Rechenaufwand erfordern.

Bluetooth-Arbeitsgruppe will Standard auf Sicherheitsniveau der 80er Jahre erhöhen

Die Bluetooth-Standardisierungsgruppe ist offenbar trotzdem der Meinung, dass 56 Bit sicher genug sind. Sie hat eine Stellungnahme zu dem Angriff veröffentlicht und schlägt vor, dass Hersteller ihre Firmware so verändern, dass sie Verbindungen mit weniger als 56 Bit nicht akzeptieren.

Die Entdecker des Angriffs schreiben, dass es für die Aushandlung der Schlüssellänge eigentlich keinen sinnvollen Grund gibt. Im Normalfall sollten alle Geräte schlicht die maximale Schlüssellänge von 16 Byte (128 Bit) verwenden. Das ist ein übliches Sicherheitsniveau, das bei heutigen Verschlüsselungsverfahren eingesetzt wird.

Die Bluetooth-Standardisierungsgruppe begründet nicht, warum sie stattdessen an unsicheren 56 Bit festhalten will. Es liegt aber vermutlich daran, dass sie damit die Kompatibilität mit bestehenden Geräten erhalten will. Wie viele Geräte in der Praxis kürzere Schlüssel einsetzen, dürfte kaum jemand wissen.

Letztendlich bedeutet das, dass die standardisierte Bluetooth-Verschlüsselung auch in Zukunft nicht sicher ist. Wer Bluetooth für sicherheitskritische Anwendungen nutzt, muss daher zusätzliche Sicherheitsmechanismen implementieren. Und wer Bluetooth-Keyboards oder andere Eingabegeräte verwendet, kann sich auf deren Sicherheit nicht verlassen. Ein Angreifer könnte die Verbindung manipulieren und beispielsweise falsche Tastatureingaben senden.

Die Cryptowars grüßen

Der Grund für die Schwäche ist ein historischer: Die Spezifikation begründet die verschiedenen Schlüssellängen mit Exportregulierungen und unterschiedlichen Anforderungen in verschiedenen Ländern. In den 80er- und 90er-Jahren gab es heftige Auseinandersetzungen darüber, ob Privatpersonen überhaupt Zugriff auf sichere Verschlüsselung haben sollten. Daher wurden in früheren Verschlüsselungsstandards oft sehr kurze Schlüssellängen verwendet, die von staatlichen Behörden geknackt werden konnten.

Ähnliche Sicherheitslücken, die auf diese sogenannten Cryptowars zurückgehen, gab es schon mehrfach. Beispiele dafür sind der FREAK-Angriff und Logjam, die beide TLS betrafen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

/mecki78 19. Aug 2019

Gar nicht. Das sind zwei komplett unterschiedliche Technologien, die überhaupt nichts...

/mecki78 19. Aug 2019

Das ist gleich doppelt Unfug. Zum einen braucht es für jeden Angriff Fachwissen und zum...

Jonny Dee 17. Aug 2019

Ich weiß nicht recht. Ist es nicht besser, wenn jedes einzelne Bit für sich gesehen voll...

Auspuffanlage 16. Aug 2019

Einfach zu verstehen. Statt immer nur Kritik an den Artikeln von golem zu geben, möchte...


Folgen Sie uns
       


Razer Kyio Pro Webcam - Test

Webcams müssen keine miese Bildqualität haben, wie Razers Kyio Pro in unserem Test beweist.

Razer Kyio Pro Webcam - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /