Abo
  • IT-Karriere:

KNOB-Angriff: 8-Bit-Verschlüsselung mit Bluetooth

Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.

Artikel veröffentlicht am ,
Mit diesem Supercomputer könnte man einen Angriff auf die 8-Bit-Verschlüsselung des Bluetooth-Protokolls durchführen.
Mit diesem Supercomputer könnte man einen Angriff auf die 8-Bit-Verschlüsselung des Bluetooth-Protokolls durchführen. (Bild: Pixabay / Pexels/CC0 1.0)

Die Verschlüsselungsfunktion des Bluetooth-Standards lässt sich mit einem sehr einfachen Angriff aushebeln. Der Kern des Angriffs: Die Länge des Schlüssels lässt sich auf ein Byte reduzieren, der entsprechende Teil des Protokolls ist nicht authentifiziert und kann damit von einem Angreifer manipuliert werden. Anschließend ist es trivial, den korrekten Schlüssel durch reines Ausprobieren herauszufinden.

Stellenmarkt
  1. Lidl Digital, Neckarsulm, Hückelhoven, Venlo (Niederlande)
  2. JEMAKO Produktionsgesellschaft mbH, Rhede

Die Entdecker haben ihre Methode KNOB-Angriff getauft (Key Negotiation of Bluetooth Attack). Vorgestellt wurden die Ergebnisse auf der Usenix-Konferenz in Santa Clara in den USA.

Im Bluetooth-Standard gibt es eine optionale Verschlüsselung, die abgesicherte Verbindungen ermöglichen soll. Dabei wird zwischen zwei Geräten ein Schlüssel ausgehandelt. Das Protokoll sieht hier vor, dass ein Kommunikationspartner eine maximale Schlüssellänge vorschlägt, die zwischen 1 und 16 Byte lang sein kann. Der andere Kommunikationspartner kann diese anschließend akzeptieren oder eine kürzere Schlüssellänge setzen.

Schlüsselaushandlung ist unauthentifiziert und lässt sich manipulieren

Diese Nachrichten, die Teil des sogenannten Link Manager Protocol (LMP) sind, haben dabei keinerlei Authentifizierung oder Integritätsschutz. Das bedeutet, dass ein Man-in-the-Middle-Angreifer diese Nachrichten nach Belieben manipulieren kann. Somit ist der Angriff geradezu erschreckend leicht: Ein Angreifer sorgt dafür, dass die Schlüssellänge auf ihr Minimum - ein Byte - reduziert wird. Anschließend kann der Angreifer den entsprechenden Schlüssel durch reines Ausprobieren knacken - es gibt nur 256 verschiedene Möglichkeiten.

Der Angriff bezieht sich auf einen Teil des Bluetooth-Protokolls, der üblicherweise komplett in der Firmware eines Geräts implementiert wird. Damit ist er für Applikationen oder das Betriebssystem im Normalfall nicht erkennbar. Da der Angriff auf völlig standardkonformem Verhalten basiert, funktioniert er mit nahezu allen Bluetooth-Geräten.

Um den Angriff praktisch durchzuführen, gibt es eine praktische Hürde: Ein Angreifer muss in der Lage sein, die Funknachrichten zwischen zwei Bluetooth-Geräten zu manipulieren. Dafür muss er nicht nur eigene Nachrichten senden, er muss auch durch beispielsweise entsprechende Störungen verhindern, dass die legitimen Nachrichten beim Empfänger ankommen. Diesen Teil des Angriffs haben seine Entdecker nicht implementiert, sie haben einen Man-in-the-Middle-Angriff durch eine modifizierte Firmware simuliert.

Die Entdecker des Angriffs haben mehrere Geräte getestet und dabei lediglich ein Gerät gefunden, das solche absurd kurzen Schlüssel nicht akzeptiert. Der Bluetooth-Chip in Apples Airpod verlangt eine minimale Schlüssellänge von sieben Byte oder 56 Bit.

Sicher ist das auch nicht. 56 Bit ist die Schlüssellänge, die beispielsweise der Data Encryption Standard (DES) aus den 70er Jahren verwendet hat. Bereits 1999 konnte die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) zeigen, dass sich solch kurze Schlüssel praktisch mit Bruteforce-Angriffen brechen lassen. Sprich: Der Angriff wäre weiterhin möglich, er würde nur einen relativ hohen Rechenaufwand erfordern.

Bluetooth-Arbeitsgruppe will Standard auf Sicherheitsniveau der 80er Jahre erhöhen

Die Bluetooth-Standardisierungsgruppe ist offenbar trotzdem der Meinung, dass 56 Bit sicher genug sind. Sie hat eine Stellungnahme zu dem Angriff veröffentlicht und schlägt vor, dass Hersteller ihre Firmware so verändern, dass sie Verbindungen mit weniger als 56 Bit nicht akzeptieren.

Die Entdecker des Angriffs schreiben, dass es für die Aushandlung der Schlüssellänge eigentlich keinen sinnvollen Grund gibt. Im Normalfall sollten alle Geräte schlicht die maximale Schlüssellänge von 16 Byte (128 Bit) verwenden. Das ist ein übliches Sicherheitsniveau, das bei heutigen Verschlüsselungsverfahren eingesetzt wird.

Die Bluetooth-Standardisierungsgruppe begründet nicht, warum sie stattdessen an unsicheren 56 Bit festhalten will. Es liegt aber vermutlich daran, dass sie damit die Kompatibilität mit bestehenden Geräten erhalten will. Wie viele Geräte in der Praxis kürzere Schlüssel einsetzen, dürfte kaum jemand wissen.

Letztendlich bedeutet das, dass die standardisierte Bluetooth-Verschlüsselung auch in Zukunft nicht sicher ist. Wer Bluetooth für sicherheitskritische Anwendungen nutzt, muss daher zusätzliche Sicherheitsmechanismen implementieren. Und wer Bluetooth-Keyboards oder andere Eingabegeräte verwendet, kann sich auf deren Sicherheit nicht verlassen. Ein Angreifer könnte die Verbindung manipulieren und beispielsweise falsche Tastatureingaben senden.

Die Cryptowars grüßen

Der Grund für die Schwäche ist ein historischer: Die Spezifikation begründet die verschiedenen Schlüssellängen mit Exportregulierungen und unterschiedlichen Anforderungen in verschiedenen Ländern. In den 80er- und 90er-Jahren gab es heftige Auseinandersetzungen darüber, ob Privatpersonen überhaupt Zugriff auf sichere Verschlüsselung haben sollten. Daher wurden in früheren Verschlüsselungsstandards oft sehr kurze Schlüssellängen verwendet, die von staatlichen Behörden geknackt werden konnten.

Ähnliche Sicherheitslücken, die auf diese sogenannten Cryptowars zurückgehen, gab es schon mehrfach. Beispiele dafür sind der FREAK-Angriff und Logjam, die beide TLS betrafen.



Anzeige
Hardware-Angebote
  1. 344,00€

derh0ns 18. Aug 2019 / Themenstart

NFC ist nur ein Transport Protocol und somit gar nicht verschlüsselt, Verschlüsselung ist...

McWiesel 18. Aug 2019 / Themenstart

Mittlerweile geht es doch den meisten "Forschern" nur um Berühmtheit, öffentliches...

Jonny Dee 17. Aug 2019 / Themenstart

Ich weiß nicht recht. Ist es nicht besser, wenn jedes einzelne Bit für sich gesehen voll...

Auspuffanlage 16. Aug 2019 / Themenstart

Einfach zu verstehen. Statt immer nur Kritik an den Artikeln von golem zu geben, möchte...

Kommentieren


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
SEO: Der Google-Algorithmus benachteiligt Frauen
SEO
Der Google-Algorithmus benachteiligt Frauen

Websites von Frauen werden auf Google schlechter gerankt als die von Männern - und die deutsche Sprache ist schuld. Was lässt sich dagegen tun?
Von Kathi Grelck

  1. Google LED von Nest-Kameras lässt sich nicht mehr ausschalten
  2. FIDO Google führt Logins ohne Passwort ein
  3. Nachhaltigkeit 2022 sollen Google-Geräte Recycling-Kunststoff enthalten

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

Ryzen 5 3400G und Ryzen 3 3200G im Test: Picasso passt
Ryzen 5 3400G und Ryzen 3 3200G im Test
Picasso passt

Vier Zen-CPU-Kerne plus integrierte Vega-Grafikeinheit: Der Ryzen 5 3400G und der Ryzen 3 3200G sind zwar im Prinzip nur höher getaktete Chips, in ihrem Segment aber weiterhin konkurrenzlos. Das schnellere Modell hat jedoch trotz verlötetem Extra für Übertakter ein Preisproblem.
Ein Test von Marc Sauter

  1. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  2. Ryzen 3000 Agesa 1003abb behebt RDRAND- und PCIe-Gen4-Bug
  3. Ryzen 5 3600(X) im Test Sechser-Pasch von AMD

    •  /