Kommentar zu möglicher Hintertür in NIST Verschlüsselungsstandard

RSA warnt vor Backdoor in eigener Software

| Autor / Redakteur: Robert Korherr, ProSoft / Peter Schmitz

Die RSA vermutet, dass in einem für die Verschlüsselung in ihrer Entwicklungsumgebung Bsafe genutzten Zufallszahlengenerator, eine von der NSA geschaffene Hintertür gibt.
Die RSA vermutet, dass in einem für die Verschlüsselung in ihrer Entwicklungsumgebung Bsafe genutzten Zufallszahlengenerator, eine von der NSA geschaffene Hintertür gibt. (Bild: maxkabakov, Fotolia.com)

Der Sicherheitsanbieter RSA warnt Programmierer vor dem Einsatz seiner eigenen Entwicklungsumgebung für Verschlüsselung „Bsafe“. Dokumente des Whistleblowers Edward Snowden scheinen den seit 2007 bestehenden Verdacht zu erhärten, dass im Zufallszahlengenerator Dual_EC_DRBG eine Hintertür versteckt ist.

RSA warnt derzeit Kunden vor dem Einsatz der eigenen Entwicklungsumgebung. Die Warnung betrifft den Zufallsgenerator im Bsafe Entwickler-Baukasten. Dieser wurde nach dem US-Standard NIST „SP 800-90A Dual Elliptic Curve Deterministic Random Bit Generation“ umgesetzt und wahrscheinlich von der NSA mit einer Backdoor versehen.

Dieser Standard für Zufallsgeneratoren wird häufig bei Verschlüsselungsverfahren eingesetzt. Daher bekommt die Warnung beim zweiten Blick noch einmal deutlich Gewicht, denn der Zufallsgenerator wird durch Bsafe laut RSA/EMC „in tausenden kommerzieller Anwendungen eingesetzt“. Darunter befinden sich viele klangvolle Namen aus dem Security Bereich. Eine Webseite des CERT führt Unternehmen auf, die dieses Entwicklungstool bereits 2006/2007 in Ihre Lösungen integriert hatten, als es erste Hinweise auf die Hintertür gab.

Bestätigt wurden diese fünf Jahre alten Vermutungen jetzt durch durch Unterlagen des Whistleblowers Edward Snowden. Aus diesen geht hervor, dass die NSA den Standard Dual_EC_DRBG bereits vor einigen Jahren durch ein eingeschleustes und damit verifizierbares Muster manipuliert haben soll.

Robert Korherr, CEO von ProSoft: "Auf Rückfrage bei unseren Herstellern können wir bestätigen, dass die von uns vertriebenen Sicherheitslösungen nicht den „Dual_EC_DRBG-Zufallszahlengenerator“ einsetzen."
Robert Korherr, CEO von ProSoft: "Auf Rückfrage bei unseren Herstellern können wir bestätigen, dass die von uns vertriebenen Sicherheitslösungen nicht den „Dual_EC_DRBG-Zufallszahlengenerator“ einsetzen." (Bild: ProSoft)

Alle damit erstellten Verschlüsselungen könnten von der Behörde leicht geknackt werden und die Daten wären damit nicht mehr umfassend geschützt. Wie aus dem Link des CERT hervorgeht, nutzen weltweit eingesetzte Lösungen und Hersteller für Firewalls, (mobile) Applikationen und Betriebssysteme, Zertifikate und andere den Verschlüsselungsgenerator.

Ob das Tool eingesetzt wird, ist für Verantwortliche nur schwer nachvollziehbar und damit auch die Unsicherheit groß. Leider bedeuten Sicherheitslösungen, in die durch Dual_EC_DRBG eine absichtliche Schwachstelle integriert wurde, eine neue Qualität im Fall des Spionageskandals. Vermutlich wird das aber auch nicht die letzte Meldung dieser Art sein.

Wir empfehlen Unternehmen trotzdem den Einsatz von Security-Lösungen weiter zu forcieren, da normale Hacker diese Möglichkeiten nicht zur Verfügung haben und auch andere Motive erreichen wollen. Außerdem verlangen Bundesdatenschutzgesetz, internationale Zertifizierungen und Regularien einen durchgehenden Schutz der Daten, auch wenn einem das absurd vorkommt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42325778 / Softwareentwicklung)