• IT-Karriere:
  • Services:

Verschlüsselung: Falsche Kurvenpunkte bringen Bluetooth zum Stolpern

Eine Schwachstelle bei der Implementierung der Verschlüsselung mit elliptischen Kurven im Bluetooth-Protokoll kann dazu genutzt werden, das Pairing von Bluetooth-Geräten anzugreifen. Grund dafür ist ein sogenannter Invalid-Curve-Angriff.

Artikel veröffentlicht am , Hanno Böck
Bluetooth-Geräte können für einen Invalid-Curve-Angriff verwundbar sein. Damit das funktioniert, müssen aber einige Dinge zusammenkommen.
Bluetooth-Geräte können für einen Invalid-Curve-Angriff verwundbar sein. Damit das funktioniert, müssen aber einige Dinge zusammenkommen. (Bild: Abidh786 / Wikimedia Commons)

Kryptographen des israelischen Technion-Instituts haben einen Angriff auf die Verschlüsselung des Bluetooth-Protokolls veröffentlicht. Betroffen davon sind zahlreiche Implementierungen, beispielsweise in iPhones oder in Googles Android-Betriebssystem. Die Schwachstelle basiert auf einer Weiterentwicklung eines alten Angriffs: eine sogenannte Invalid-Curve-Attacke auf die Verschlüsselung mit elliptischen Kurven.

Stellenmarkt
  1. Grünbeck Wasseraufbereitung GmbH, Hochstädt
  2. ZALARIS Deutschland AG, Leipzig

Beim Pairing von Bluetooth-Geräten, also bei der initialen Einrichtung und Verbindung zweier Geräte, wird ein Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven durchgeführt. Elliptische Kurven sind eine mathematische Struktur, auf der Punkte mit X- und Y-Koordinaten definiert werden können. Die temporären Schlüssel beim Schlüsselaustausch wiederum sind solche Punkte auf einer elliptischen Kurve.

Ist der Punkt auch auf der Kurve?

Für die Sicherheit von solchen Verfahren auf Basis elliptischer Kurven ist es wichtig, dass Implementierungen prüfen, dass die beim Schlüsselaustausch verschickten Punkte auch tatsächlich auf der jeweiligen Kurve liegen. Wird diese Prüfung ausgelassen, sind Angriffe möglich.

Beschrieben wurde dieser Angriff zum ersten Mal von einem Team der Kryptographin Ingrid Biehl auf der Crypto-Konferenz im Jahr 2000. Im Jahr 2015 gelang es Forschern der Ruhr-Universität Bochum, einen solchen Angriff praktisch bei einigen TLS-Implementierungen und bei Hardware-Sicherheitsmodulen (HSMs) durchzuführen.

Was jetzt bei Bluetooth entdeckt wurde, ist eine Variante dieses Angriffs. Die entsprechenden Implementierungen prüfen zwar, ob eine Koordinate des jeweils übertragenen Punkts valide ist, ignorieren aber die andere Koordinate. Das reichte den israelischen Forschern aber bereits, um den Angriff anzupassen.

Für zahlreiche Systeme stehen jetzt Updates bereit. In der Praxis dürfte die Relevanz des Angriffs jedoch begrenzt sein. Damit er funktioniert, müssen beide Geräte verwundbar sein - wenn eine Seite der Verbindung ein Sicherheitsupdate erhalten hat, funktioniert der Angriff nicht mehr. Normale Bluetooth-Verbindungen sind zudem nicht betroffen, nur das initiale Pairing ist angreifbar.

Das heißt: Ein Angreifer muss sich in Funkreichweite befinden, während zwei verwundbare Geräte neu miteinander verbunden werden. Dann könnte der Angreifer in das Pairing eingreifen und anschließend Daten mitlesen.

Bluetooth-Spezifikation aktualisiert

Die Bluetooth-Arbeitsgruppe hat auf die Forschungsergebnisse mit einem Update der Spezifikationen reagiert. Darin wird nun klargestellt, dass Implementierungen in jedem Fall eine vollständige Prüfung der Kurvenpunkte durchführen müssen.

Theoretisch ist es auch möglich, bereits auf Protokollebene solche Angriffe zu verhindern. Statt vollständige Punkte zu übertragen, kann ein komprimiertes Verfahren verwendet werden, bei dem nur eine Koordinate und das Vorzeichen der anderen Koordinate übertragen werden. Damit sind die Möglichkeiten für invalide Punkte deutlich eingeschränkt.

Wird zudem eine Kurve mit der Eigenschaft namens Twist-Security genutzt, sind solche Angriffe nicht mehr möglich. Machbar ist das beispielsweise mit der inzwischen von der IETF standardisierten elliptischen Kurve Curve25519. Doch für eine solche Änderung müsste das Protokoll tiefgreifend verändert werden - und es wäre mit bestehenden Geräten nicht mehr kompatibel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. Verkaufsstart um 15 Uhr
  2. 370,32€ (Bestpreis)
  3. (u. a. Edifier Studio R1280T Lautsprecher für 69,90€, Cooler Master MasterBox MB520 ARGB...
  4. (heute: Noblechairs Epic Java Edition Gaming Stuhl)

Faksimile 25. Jul 2018

Lass bitte die Microwelle zu, ich will meine Musik hören!

Der Agent 25. Jul 2018

Nadann erwisch mal wen beim Pairing seines Phones mit dem Auto UND verfolg ihn dann...


Folgen Sie uns
       


Besuch beim Cyberbunker

Wir haben uns den ominösen Cyberbunker an der Mosel oberhalb von Traben-Trarbach von außen angeschaut.

Besuch beim Cyberbunker Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

Macbook Air mit Apple Silicon im Test: Das beste Macbook braucht kein Intel
Macbook Air mit Apple Silicon im Test
Das beste Macbook braucht kein Intel

Was passiert, wenn Apple ein altbewährtes Chassis mit einem extrem potenten ARM-Chip verbindet? Es entsteht eines der besten Notebooks.
Ein Test von Oliver Nickel

  1. Apple Macbook Air (2020) im Test Weg mit der defekten Tastatur!
  2. Retina-Display Fleckige Bildschirme auch bei einigen Macbook Air
  3. iFixit Teardown Neue Tastatur macht das Macbook Air dicker

Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

    •  /