Henryk Plötz: über bluetooth drucken - sicher oder nicht?

Beitrag lesen

Moin,

ist bluetooth sicher?

Radio Eriwan: Im Prinzip ja, aber ...

Die eigentliche Verschlüsselung von Bluetooth gilt zur Zeit als sicher, es gibt aber (zum Teil schwere) Probleme in den angrenzenden Bereichen.

Zunächst die nötigsten Grundlagenerklärungen: Bei Bluetooth werden Geräte üblicherweise über einen Prozess, der Pairing genannt wird, miteinander verbunden. Jedes Gerät speichert dabei die Adresse des anderen Gerätes und ausserdem wird ein Schlüssel vereinbart den die beiden Geräte später zur Identifizierung und weiterem benutzen können. Beim Pairing muss der Benutzer üblicherweise auf beiden Geräten eine PIN eingeben, bzw. sie ist auf einem Geräte fest eingestellt und muss auf dem anderen Gerät eingegeben werden.

Verschlüsselung und Authentifizierung: Beim Pairing wird (in der Regel) ein Schlüssel erzeugt damit die Geräte sich gegenseitig 'wiedererkennen' können (und nicht einfach jemand Fremdes kommt, der zufällig oder mutwillig die gleiche Adresse hat). Dieser Schlüssel hat stets 128 Bit, was üblicherweise mehr als genug ist. Beim Aufbau einer Datenverbindung kann man dann optional auch Verschlüsselung für die übertragenen Daten anfordern. Dafür wird  eigens ein Schlüssel generiert der zwischen 8 und 128 Bit haben kann.

Sicherheit und Angriffsmöglichkeiten: Beim Pairing-Prozess selbst kann ein Angreifer der den Prozess abhört an genügend Daten kommen, um die PIN zu knacken: http://www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/index.html. Pairen tut man zwar üblicherweise nur einmal, aber dann sollte man wirklich sicher sein, nicht abgehört zu werden. Und auf anderem Wege: wenn die PIN auf einem der Geräte fest auf "0000" eingestellt wird, ist das eh alles egal.

Wenn dann später Verschlüsselung eingeschaltet wird, stimmen sich die Geräte darüber ab wer welche Schlüssellängen bereit ist, zu unterstützen (das haben wir diesen doofen Ländern zu verdanken die ein Problem mit Kryptographie haben). Wenn nun eines der Geräte sagt, es macht nur 40 Bit (oder schlimmer noch: 8 Bit), dann ist das natürlich ein Witz allerersten Grades. Doof nur: Man kann es nicht mitkriegen. Zusätzlich gibt es da noch andere (etwas kompliziertere) Möglichkeiten, ich verweise auf "Blauzahnlücken", c't 11/03, Seite 186.

mein größter alptraum: ich drucke einen vertraulichen schriftsatz aus und mein nachbar ein haus weiter erhält seinerseits eine kopie des schriftsatzes auf seinem bluetooth-drucker.

Ganz so einfach ist das nicht. Im Prinzip ist Bluetooth völlig OK, aber für vertrauliche Daten, erst recht bei einem Anwalt würde ich es nicht mehr uneingeschränkt empfehlen wollen. Grade, wenn man nicht beide Enden der Kommunikation und deren Einstellungen kontrollieren kann.

--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~