Verschlüsselung: Falsche Kurvenpunkte bringen Bluetooth zum Stolpern

Eine Schwachstelle bei der Implementierung der Verschlüsselung mit elliptischen Kurven im Bluetooth-Protokoll kann dazu genutzt werden, das Pairing von Bluetooth-Geräten anzugreifen. Grund dafür ist ein sogenannter Invalid-Curve-Angriff.

Artikel veröffentlicht am , Hanno Böck
Bluetooth-Geräte können für einen Invalid-Curve-Angriff verwundbar sein. Damit das funktioniert, müssen aber einige Dinge zusammenkommen.
Bluetooth-Geräte können für einen Invalid-Curve-Angriff verwundbar sein. Damit das funktioniert, müssen aber einige Dinge zusammenkommen. (Bild: Abidh786 / Wikimedia Commons)

Kryptographen des israelischen Technion-Instituts haben einen Angriff auf die Verschlüsselung des Bluetooth-Protokolls veröffentlicht. Betroffen davon sind zahlreiche Implementierungen, beispielsweise in iPhones oder in Googles Android-Betriebssystem. Die Schwachstelle basiert auf einer Weiterentwicklung eines alten Angriffs: eine sogenannte Invalid-Curve-Attacke auf die Verschlüsselung mit elliptischen Kurven.

Stellenmarkt
  1. IT-Softwareingenieur (w/m/d) 1st Level
    SSI SCHÄFER Automation GmbH, Giebelstadt
  2. Softwareentwickler Healthcare IT (gn*)
    medavis GmbH, Karlsruhe
Detailsuche

Beim Pairing von Bluetooth-Geräten, also bei der initialen Einrichtung und Verbindung zweier Geräte, wird ein Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven durchgeführt. Elliptische Kurven sind eine mathematische Struktur, auf der Punkte mit X- und Y-Koordinaten definiert werden können. Die temporären Schlüssel beim Schlüsselaustausch wiederum sind solche Punkte auf einer elliptischen Kurve.

Ist der Punkt auch auf der Kurve?

Für die Sicherheit von solchen Verfahren auf Basis elliptischer Kurven ist es wichtig, dass Implementierungen prüfen, dass die beim Schlüsselaustausch verschickten Punkte auch tatsächlich auf der jeweiligen Kurve liegen. Wird diese Prüfung ausgelassen, sind Angriffe möglich.

Beschrieben wurde dieser Angriff zum ersten Mal von einem Team der Kryptographin Ingrid Biehl auf der Crypto-Konferenz im Jahr 2000. Im Jahr 2015 gelang es Forschern der Ruhr-Universität Bochum, einen solchen Angriff praktisch bei einigen TLS-Implementierungen und bei Hardware-Sicherheitsmodulen (HSMs) durchzuführen.

Golem Akademie
  1. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
  2. Microsoft 365 Administration: virtueller Drei-Tage-Workshop
    01.-03.06.2022, Virtuell
Weitere IT-Trainings

Was jetzt bei Bluetooth entdeckt wurde, ist eine Variante dieses Angriffs. Die entsprechenden Implementierungen prüfen zwar, ob eine Koordinate des jeweils übertragenen Punkts valide ist, ignorieren aber die andere Koordinate. Das reichte den israelischen Forschern aber bereits, um den Angriff anzupassen.

Für zahlreiche Systeme stehen jetzt Updates bereit. In der Praxis dürfte die Relevanz des Angriffs jedoch begrenzt sein. Damit er funktioniert, müssen beide Geräte verwundbar sein - wenn eine Seite der Verbindung ein Sicherheitsupdate erhalten hat, funktioniert der Angriff nicht mehr. Normale Bluetooth-Verbindungen sind zudem nicht betroffen, nur das initiale Pairing ist angreifbar.

Das heißt: Ein Angreifer muss sich in Funkreichweite befinden, während zwei verwundbare Geräte neu miteinander verbunden werden. Dann könnte der Angreifer in das Pairing eingreifen und anschließend Daten mitlesen.

Bluetooth-Spezifikation aktualisiert

Die Bluetooth-Arbeitsgruppe hat auf die Forschungsergebnisse mit einem Update der Spezifikationen reagiert. Darin wird nun klargestellt, dass Implementierungen in jedem Fall eine vollständige Prüfung der Kurvenpunkte durchführen müssen.

Theoretisch ist es auch möglich, bereits auf Protokollebene solche Angriffe zu verhindern. Statt vollständige Punkte zu übertragen, kann ein komprimiertes Verfahren verwendet werden, bei dem nur eine Koordinate und das Vorzeichen der anderen Koordinate übertragen werden. Damit sind die Möglichkeiten für invalide Punkte deutlich eingeschränkt.

Wird zudem eine Kurve mit der Eigenschaft namens Twist-Security genutzt, sind solche Angriffe nicht mehr möglich. Machbar ist das beispielsweise mit der inzwischen von der IETF standardisierten elliptischen Kurve Curve25519. Doch für eine solche Änderung müsste das Protokoll tiefgreifend verändert werden - und es wäre mit bestehenden Geräten nicht mehr kompatibel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Faksimile 25. Jul 2018

Lass bitte die Microwelle zu, ich will meine Musik hören!

Der Agent 25. Jul 2018

Nadann erwisch mal wen beim Pairing seines Phones mit dem Auto UND verfolg ihn dann...



Aktuell auf der Startseite von Golem.de
LG HU915QE
Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
Artikel
  1. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

  2. Sexualisierte Gewalt gegen Kinder: Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle
    Sexualisierte Gewalt gegen Kinder
    Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle

    Ursprünglich hat die Sozialdemokratin die geplante EU-Überwachung des Internets befürwortet. Nun sagt sie etwas anderes zur Chatkontrolle.

  3. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Predator X38S (UWQHD, 175 Hz OC) 1.499€ • MindStar (u. a. AMD Ryzen 7 5700X 268€ und PowerColor RX 6750 XT Red Devil 609€ und RX 6900 XT Red Devil Ultimate 949€) • Alternate (u. a. Cooler Master Caliber R1 159,89€) • SanDisk Portable SSD 1 TB 81€ • Motorola Moto G60s 149€ [Werbung]
    •  /