KNOB-Angriff: 8-Bit-Verschlüsselung mit Bluetooth

Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.

Artikel veröffentlicht am ,
Mit diesem Supercomputer könnte man einen Angriff auf die 8-Bit-Verschlüsselung des Bluetooth-Protokolls durchführen.
Mit diesem Supercomputer könnte man einen Angriff auf die 8-Bit-Verschlüsselung des Bluetooth-Protokolls durchführen. (Bild: Pixabay / Pexels/CC0 1.0)

Die Verschlüsselungsfunktion des Bluetooth-Standards lässt sich mit einem sehr einfachen Angriff aushebeln. Der Kern des Angriffs: Die Länge des Schlüssels lässt sich auf ein Byte reduzieren, der entsprechende Teil des Protokolls ist nicht authentifiziert und kann damit von einem Angreifer manipuliert werden. Anschließend ist es trivial, den korrekten Schlüssel durch reines Ausprobieren herauszufinden.

Stellenmarkt
  1. Product Owner Microsoft Dynamics NAV (m/f/d)
    Autodoc AG, Berlin, Moldawien, Ukraine, Polen, Tschechische Republik (Home-Office)
  2. Datenschutzkoordinator (m/w/d)
    S-Kreditpartner GmbH, Berlin
Detailsuche

Die Entdecker haben ihre Methode KNOB-Angriff getauft (Key Negotiation of Bluetooth Attack). Vorgestellt wurden die Ergebnisse auf der Usenix-Konferenz in Santa Clara in den USA.

Im Bluetooth-Standard gibt es eine optionale Verschlüsselung, die abgesicherte Verbindungen ermöglichen soll. Dabei wird zwischen zwei Geräten ein Schlüssel ausgehandelt. Das Protokoll sieht hier vor, dass ein Kommunikationspartner eine maximale Schlüssellänge vorschlägt, die zwischen 1 und 16 Byte lang sein kann. Der andere Kommunikationspartner kann diese anschließend akzeptieren oder eine kürzere Schlüssellänge setzen.

Schlüsselaushandlung ist unauthentifiziert und lässt sich manipulieren

Diese Nachrichten, die Teil des sogenannten Link Manager Protocol (LMP) sind, haben dabei keinerlei Authentifizierung oder Integritätsschutz. Das bedeutet, dass ein Man-in-the-Middle-Angreifer diese Nachrichten nach Belieben manipulieren kann. Somit ist der Angriff geradezu erschreckend leicht: Ein Angreifer sorgt dafür, dass die Schlüssellänge auf ihr Minimum - ein Byte - reduziert wird. Anschließend kann der Angreifer den entsprechenden Schlüssel durch reines Ausprobieren knacken - es gibt nur 256 verschiedene Möglichkeiten.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Der Angriff bezieht sich auf einen Teil des Bluetooth-Protokolls, der üblicherweise komplett in der Firmware eines Geräts implementiert wird. Damit ist er für Applikationen oder das Betriebssystem im Normalfall nicht erkennbar. Da der Angriff auf völlig standardkonformem Verhalten basiert, funktioniert er mit nahezu allen Bluetooth-Geräten.

Um den Angriff praktisch durchzuführen, gibt es eine praktische Hürde: Ein Angreifer muss in der Lage sein, die Funknachrichten zwischen zwei Bluetooth-Geräten zu manipulieren. Dafür muss er nicht nur eigene Nachrichten senden, er muss auch durch beispielsweise entsprechende Störungen verhindern, dass die legitimen Nachrichten beim Empfänger ankommen. Diesen Teil des Angriffs haben seine Entdecker nicht implementiert, sie haben einen Man-in-the-Middle-Angriff durch eine modifizierte Firmware simuliert.

Die Entdecker des Angriffs haben mehrere Geräte getestet und dabei lediglich ein Gerät gefunden, das solche absurd kurzen Schlüssel nicht akzeptiert. Der Bluetooth-Chip in Apples Airpod verlangt eine minimale Schlüssellänge von sieben Byte oder 56 Bit.

Sicher ist das auch nicht. 56 Bit ist die Schlüssellänge, die beispielsweise der Data Encryption Standard (DES) aus den 70er Jahren verwendet hat. Bereits 1999 konnte die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) zeigen, dass sich solch kurze Schlüssel praktisch mit Bruteforce-Angriffen brechen lassen. Sprich: Der Angriff wäre weiterhin möglich, er würde nur einen relativ hohen Rechenaufwand erfordern.

Bluetooth-Arbeitsgruppe will Standard auf Sicherheitsniveau der 80er Jahre erhöhen

Die Bluetooth-Standardisierungsgruppe ist offenbar trotzdem der Meinung, dass 56 Bit sicher genug sind. Sie hat eine Stellungnahme zu dem Angriff veröffentlicht und schlägt vor, dass Hersteller ihre Firmware so verändern, dass sie Verbindungen mit weniger als 56 Bit nicht akzeptieren.

Die Entdecker des Angriffs schreiben, dass es für die Aushandlung der Schlüssellänge eigentlich keinen sinnvollen Grund gibt. Im Normalfall sollten alle Geräte schlicht die maximale Schlüssellänge von 16 Byte (128 Bit) verwenden. Das ist ein übliches Sicherheitsniveau, das bei heutigen Verschlüsselungsverfahren eingesetzt wird.

Die Bluetooth-Standardisierungsgruppe begründet nicht, warum sie stattdessen an unsicheren 56 Bit festhalten will. Es liegt aber vermutlich daran, dass sie damit die Kompatibilität mit bestehenden Geräten erhalten will. Wie viele Geräte in der Praxis kürzere Schlüssel einsetzen, dürfte kaum jemand wissen.

Letztendlich bedeutet das, dass die standardisierte Bluetooth-Verschlüsselung auch in Zukunft nicht sicher ist. Wer Bluetooth für sicherheitskritische Anwendungen nutzt, muss daher zusätzliche Sicherheitsmechanismen implementieren. Und wer Bluetooth-Keyboards oder andere Eingabegeräte verwendet, kann sich auf deren Sicherheit nicht verlassen. Ein Angreifer könnte die Verbindung manipulieren und beispielsweise falsche Tastatureingaben senden.

Die Cryptowars grüßen

Der Grund für die Schwäche ist ein historischer: Die Spezifikation begründet die verschiedenen Schlüssellängen mit Exportregulierungen und unterschiedlichen Anforderungen in verschiedenen Ländern. In den 80er- und 90er-Jahren gab es heftige Auseinandersetzungen darüber, ob Privatpersonen überhaupt Zugriff auf sichere Verschlüsselung haben sollten. Daher wurden in früheren Verschlüsselungsstandards oft sehr kurze Schlüssellängen verwendet, die von staatlichen Behörden geknackt werden konnten.

Ähnliche Sicherheitslücken, die auf diese sogenannten Cryptowars zurückgehen, gab es schon mehrfach. Beispiele dafür sind der FREAK-Angriff und Logjam, die beide TLS betrafen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


/mecki78 19. Aug 2019

Gar nicht. Das sind zwei komplett unterschiedliche Technologien, die überhaupt nichts...

/mecki78 19. Aug 2019

Das ist gleich doppelt Unfug. Zum einen braucht es für jeden Angriff Fachwissen und zum...

Jonny Dee 17. Aug 2019

Ich weiß nicht recht. Ist es nicht besser, wenn jedes einzelne Bit für sich gesehen voll...

Auspuffanlage 16. Aug 2019

Einfach zu verstehen. Statt immer nur Kritik an den Artikeln von golem zu geben, möchte...



Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /