• IT-Karriere:
  • Services:

Verschlüsselung: Falsche Kurvenpunkte bringen Bluetooth zum Stolpern

Eine Schwachstelle bei der Implementierung der Verschlüsselung mit elliptischen Kurven im Bluetooth-Protokoll kann dazu genutzt werden, das Pairing von Bluetooth-Geräten anzugreifen. Grund dafür ist ein sogenannter Invalid-Curve-Angriff.

Artikel veröffentlicht am , Hanno Böck
Bluetooth-Geräte können für einen Invalid-Curve-Angriff verwundbar sein. Damit das funktioniert, müssen aber einige Dinge zusammenkommen.
Bluetooth-Geräte können für einen Invalid-Curve-Angriff verwundbar sein. Damit das funktioniert, müssen aber einige Dinge zusammenkommen. (Bild: Abidh786 / Wikimedia Commons)

Kryptographen des israelischen Technion-Instituts haben einen Angriff auf die Verschlüsselung des Bluetooth-Protokolls veröffentlicht. Betroffen davon sind zahlreiche Implementierungen, beispielsweise in iPhones oder in Googles Android-Betriebssystem. Die Schwachstelle basiert auf einer Weiterentwicklung eines alten Angriffs: eine sogenannte Invalid-Curve-Attacke auf die Verschlüsselung mit elliptischen Kurven.

Stellenmarkt
  1. NOVA Biomedical GmbH, Mörfelden-Walldorf
  2. Hottgenroth Software GmbH & Co. KG, Köln, Magdeburg

Beim Pairing von Bluetooth-Geräten, also bei der initialen Einrichtung und Verbindung zweier Geräte, wird ein Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven durchgeführt. Elliptische Kurven sind eine mathematische Struktur, auf der Punkte mit X- und Y-Koordinaten definiert werden können. Die temporären Schlüssel beim Schlüsselaustausch wiederum sind solche Punkte auf einer elliptischen Kurve.

Ist der Punkt auch auf der Kurve?

Für die Sicherheit von solchen Verfahren auf Basis elliptischer Kurven ist es wichtig, dass Implementierungen prüfen, dass die beim Schlüsselaustausch verschickten Punkte auch tatsächlich auf der jeweiligen Kurve liegen. Wird diese Prüfung ausgelassen, sind Angriffe möglich.

Beschrieben wurde dieser Angriff zum ersten Mal von einem Team der Kryptographin Ingrid Biehl auf der Crypto-Konferenz im Jahr 2000. Im Jahr 2015 gelang es Forschern der Ruhr-Universität Bochum, einen solchen Angriff praktisch bei einigen TLS-Implementierungen und bei Hardware-Sicherheitsmodulen (HSMs) durchzuführen.

Was jetzt bei Bluetooth entdeckt wurde, ist eine Variante dieses Angriffs. Die entsprechenden Implementierungen prüfen zwar, ob eine Koordinate des jeweils übertragenen Punkts valide ist, ignorieren aber die andere Koordinate. Das reichte den israelischen Forschern aber bereits, um den Angriff anzupassen.

Für zahlreiche Systeme stehen jetzt Updates bereit. In der Praxis dürfte die Relevanz des Angriffs jedoch begrenzt sein. Damit er funktioniert, müssen beide Geräte verwundbar sein - wenn eine Seite der Verbindung ein Sicherheitsupdate erhalten hat, funktioniert der Angriff nicht mehr. Normale Bluetooth-Verbindungen sind zudem nicht betroffen, nur das initiale Pairing ist angreifbar.

Das heißt: Ein Angreifer muss sich in Funkreichweite befinden, während zwei verwundbare Geräte neu miteinander verbunden werden. Dann könnte der Angreifer in das Pairing eingreifen und anschließend Daten mitlesen.

Bluetooth-Spezifikation aktualisiert

Die Bluetooth-Arbeitsgruppe hat auf die Forschungsergebnisse mit einem Update der Spezifikationen reagiert. Darin wird nun klargestellt, dass Implementierungen in jedem Fall eine vollständige Prüfung der Kurvenpunkte durchführen müssen.

Theoretisch ist es auch möglich, bereits auf Protokollebene solche Angriffe zu verhindern. Statt vollständige Punkte zu übertragen, kann ein komprimiertes Verfahren verwendet werden, bei dem nur eine Koordinate und das Vorzeichen der anderen Koordinate übertragen werden. Damit sind die Möglichkeiten für invalide Punkte deutlich eingeschränkt.

Wird zudem eine Kurve mit der Eigenschaft namens Twist-Security genutzt, sind solche Angriffe nicht mehr möglich. Machbar ist das beispielsweise mit der inzwischen von der IETF standardisierten elliptischen Kurve Curve25519. Doch für eine solche Änderung müsste das Protokoll tiefgreifend verändert werden - und es wäre mit bestehenden Geräten nicht mehr kompatibel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

Faksimile 25. Jul 2018

Lass bitte die Microwelle zu, ich will meine Musik hören!

Der Agent 25. Jul 2018

Nadann erwisch mal wen beim Pairing seines Phones mit dem Auto UND verfolg ihn dann...


Folgen Sie uns
       


Projekt Mare - DLR

Helga und Zohar sind zwei anthropomorphe Phantome, ihre Körper simulieren die Struktur des menschlichen Gewebes. DLR-Forscher wollen messen, wie sich die Strahlung auf den Körper auswirkt.

Projekt Mare - DLR Video aufrufen
    •  /