Cryptography Reference
In-Depth Information
det werden darf, gehen in die Initialisierung von E
0
zusätzlich 26 Bits aus der Sys-
temuhr sowie die Geräteadresse des jeweiligen Absenders (Master oder Slave)
und der Zufallswert
EN_RAND
mit ein.
Logischerweise werden jeweils nur die Nutzdaten eines Bluetooth-Pakets ver-
schlüsselt. Der Header eines Pakets wird dagegen im Klartext übertragen. Vor
dem Verschlüsseln wird auf die Nutzdaten eine nichtkryptografische Hashfunk-
tion angewandt, deren Ergebnis mit verschlüsselt wird. Durch den zusätzlichen
Hashwert kann der empfangende Master oder Slave nach dem Entschlüsseln
unmittelbar feststellen, ob es sich um einen zulässigen Klartext handelt. Falls
Mallory also ein gefälschtes Datenpaket verschickt, bei dem eine sinnlose Bit-
Folge die verschlüsselte Nutzlast ersetzt, fällt dies sofort auf.
33.3.3
Angriffe auf die Bluetooth-Sicherheitsarchitektur
Bluetooth gehört mit GSM und 802.11-WLAN zu den Netzwerktechnologien,
die Kryptografie als festen Bestandteil vorsehen. Obwohl die Bluetooth-Standar-
disierer hätten gewarnt sein können, machten auch sie unnötige Fehler beim
Umgang mit den kryptografischen Werkzeugen. Ein Problem ist zweifellos das
Verschlüsselungsverfahren E
0
, das speziell für Bluetooth entwickelt wurde. Wie
in Abschnitt 16.4 beschrieben, bietet E
0
trotz eines 128-Bit-Schlüssels nur die
Sicherheit von etwa 84 Bit Schlüssellänge. Würde man E
0
für größere Datenmen-
gen verwenden, ohne den Schlüssel zu ändern (bei Bluetooth ist dies nicht der
Fall), dann wäre das Verfahren sogar mit moderatem Aufwand zu knacken. Zwar
gibt es bisher noch keinen praxistauglichen Angriff auf Bluetooth, der die Schwä-
che von E
0
nutzt, doch der Sicherheitspuffer erscheint nicht gerade groß, und so
könnte die nächste Kryptoanalyse schon verheerende Auswirkungen haben.
Während die Verschlüsselung von Bluetooth bisher noch ausreichend sicher
scheint, kann man das für andere Teile der Bluetooth-Architektur nicht behaup-
ten. 2005 veröffentlichten Shaked und Wool einen Angriff auf das Bluetooth-Pro-
tokoll, der voraussetzt, dass der
PKEY
von einer PIN abgeleitet ist [ShaWoo]. Der
Angriff ist aus kryptografischer Sicht eher simpel. Er sieht vor, dass Angreifer
Mallory die Generierung der diversen Bluetooth-Schlüssel sowie die Authentifi-
zierung zwischen Master und Slave abhört. Anschließend ermittelt Mallory per
Brute Force, welche PIN zu den abgehörten Werten passt. Bei einer vierstelligen
PIN (es gibt also 10.000 Möglichkeiten) dauern diese Berechnungen auf einem
PC nur Sekundenbruchteile. Natürlich ist dieser Angriff nichts Sensationelles - es
war schließlich von Anfang an klar, dass eine vierstellige PIN keine große Sicher-
heit bietet. Da jedoch zahlreiche Bluetooth-Produkte eine vierstellige PIN vorse-
hen, funktioniert diese Methode in der Praxis oft genug. Wer eine Bluetooth-
Implementierung sicher betreiben will, sollte eine ausreichend lange PIN oder am
besten gleich einen zufälligen 128-Bit-Schlüssel verwenden. Darüber hinaus sollte
man vor allem darauf hoffen, dass keine neuen Angriffe auf E
0
bekannt werden.
