Kommentar zu möglicher Hintertür in NIST Verschlüsselungsstandard

RSA warnt vor Backdoor in eigener Software

| Autor / Redakteur: Robert Korherr, ProSoft / Peter Schmitz

Die RSA vermutet, dass in einem für die Verschlüsselung in ihrer Entwicklungsumgebung Bsafe genutzten Zufallszahlengenerator, eine von der NSA geschaffene Hintertür gibt.
Die RSA vermutet, dass in einem für die Verschlüsselung in ihrer Entwicklungsumgebung Bsafe genutzten Zufallszahlengenerator, eine von der NSA geschaffene Hintertür gibt. (Bild: maxkabakov, Fotolia.com)

Der Sicherheitsanbieter RSA warnt Programmierer vor dem Einsatz seiner eigenen Entwicklungsumgebung für Verschlüsselung „Bsafe“. Dokumente des Whistleblowers Edward Snowden scheinen den seit 2007 bestehenden Verdacht zu erhärten, dass im Zufallszahlengenerator Dual_EC_DRBG eine Hintertür versteckt ist.

RSA warnt derzeit Kunden vor dem Einsatz der eigenen Entwicklungsumgebung. Die Warnung betrifft den Zufallsgenerator im Bsafe Entwickler-Baukasten. Dieser wurde nach dem US-Standard NIST „SP 800-90A Dual Elliptic Curve Deterministic Random Bit Generation“ umgesetzt und wahrscheinlich von der NSA mit einer Backdoor versehen.

Dieser Standard für Zufallsgeneratoren wird häufig bei Verschlüsselungsverfahren eingesetzt. Daher bekommt die Warnung beim zweiten Blick noch einmal deutlich Gewicht, denn der Zufallsgenerator wird durch Bsafe laut RSA/EMC „in tausenden kommerzieller Anwendungen eingesetzt“. Darunter befinden sich viele klangvolle Namen aus dem Security Bereich. Eine Webseite des CERT führt Unternehmen auf, die dieses Entwicklungstool bereits 2006/2007 in Ihre Lösungen integriert hatten, als es erste Hinweise auf die Hintertür gab.

Bestätigt wurden diese fünf Jahre alten Vermutungen jetzt durch durch Unterlagen des Whistleblowers Edward Snowden. Aus diesen geht hervor, dass die NSA den Standard Dual_EC_DRBG bereits vor einigen Jahren durch ein eingeschleustes und damit verifizierbares Muster manipuliert haben soll.

Robert Korherr, CEO von ProSoft: "Auf Rückfrage bei unseren Herstellern können wir bestätigen, dass die von uns vertriebenen Sicherheitslösungen nicht den „Dual_EC_DRBG-Zufallszahlengenerator“ einsetzen."
Robert Korherr, CEO von ProSoft: "Auf Rückfrage bei unseren Herstellern können wir bestätigen, dass die von uns vertriebenen Sicherheitslösungen nicht den „Dual_EC_DRBG-Zufallszahlengenerator“ einsetzen." (Bild: ProSoft)

Alle damit erstellten Verschlüsselungen könnten von der Behörde leicht geknackt werden und die Daten wären damit nicht mehr umfassend geschützt. Wie aus dem Link des CERT hervorgeht, nutzen weltweit eingesetzte Lösungen und Hersteller für Firewalls, (mobile) Applikationen und Betriebssysteme, Zertifikate und andere den Verschlüsselungsgenerator.

Ob das Tool eingesetzt wird, ist für Verantwortliche nur schwer nachvollziehbar und damit auch die Unsicherheit groß. Leider bedeuten Sicherheitslösungen, in die durch Dual_EC_DRBG eine absichtliche Schwachstelle integriert wurde, eine neue Qualität im Fall des Spionageskandals. Vermutlich wird das aber auch nicht die letzte Meldung dieser Art sein.

Wir empfehlen Unternehmen trotzdem den Einsatz von Security-Lösungen weiter zu forcieren, da normale Hacker diese Möglichkeiten nicht zur Verfügung haben und auch andere Motive erreichen wollen. Außerdem verlangen Bundesdatenschutzgesetz, internationale Zertifizierungen und Regularien einen durchgehenden Schutz der Daten, auch wenn einem das absurd vorkommt.

Kommentar zu diesem Artikel abgeben
Es geht doch hier wieder nur um Geld! Wirtschaftsspoinage, so wie die USA diese über ihre...  lesen
posted am 25.09.2013 um 09:24 von Unregistriert


Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42325778 / Softwareentwicklung)