Suchen

Experten von GeNUA prüfen gesamten Krypto- und IPsec-Code Keine Hinweise auf Backdoor in OpenBSD nach Code-Analyse

| Redakteur: Peter Schmitz

Das OpenBSD-Projekt ist mit der Behauptung konfrontiert, dass im Jahr 2000 in den Quellcode Backdoors für das FBI eingefügt worden seien. Dies behauptet Gregory Perry in einer E-Mail an den OpenBSD-Projektleiter Theo de Raadt, die am 14. Dezember veröffentlicht wurde. Jetzt liegt ein erstes Ergebnis einer Code-Analyse vor.

Firmen zum Thema

Ein Programmierer hat im Auftrag ses FBI angeblich eine Hintertür in das OpenSource Betriebssystem OpenBSD eingeschleust. Eine Code Analyse konnte hierfür jetzt keine Hinweise erbringen.
Ein Programmierer hat im Auftrag ses FBI angeblich eine Hintertür in das OpenSource Betriebssystem OpenBSD eingeschleust. Eine Code Analyse konnte hierfür jetzt keine Hinweise erbringen.
( Archiv: Vogel Business Media )

Von der Behauptung, dass es eine Hintertür im Krypto- oder IPsec-Code von OpenBSD gäbe ist auch der deutsche Hersteller GeNUA betroffen, da Produkte des IT-Sicherheitsunternehmens auf dem freien Betriebssystem basieren. Deshalb haben die Experten des Unternehmens die Teile des Codes, die Ziel der Manipulation sein könnten, Zeile für Zeile analysiert. Das Ergebnis: Es wurden keine Hinweise auf eine Backdoor gefunden.

GeNUA verwendet für Firewalls und VPN-Systeme das Betriebssystem OpenBSD. Denn bei diesem freien Entwicklungsprojekt ist die IT-Sicherheit als vorrangiges Ziel definiert und wird mit strikten Review-Prozessen konsequent verfolgt. Die Behauptung von Gregory Perry, er habe als Mitarbeiter der Firma Netsec im Auftrag des FBI den Einbau von Backdoors in Krypto- und IPsec-Funktionen des Betriebssystem veranlasst, trifft somit sicherheitsbewusste Anwender wie GeNUA.

Die Krypto- und IPsec-Funktionen dienen zur verschlüsselten Datenübertragung via VPN. Perry nennt in der E-Mail aber keine Beweise oder konkrete Anhaltspunkte für die behauptete Manipulation. GeNUA reagierte darauf mit einer Analyse des gesamten Krypto- und IPsec-Codes von OpenBSD. Da GeNUA bereits seit 2002 Sicherheitslösungen auf Basis des freien Betriebssystems erstellt, sind hier zahlreiche OpenBSD-Entwickler beschäftigt, die solche Schwachstellen-Analysen vornehmen können.

Umfassende Schwachstellen-Analyse des Krypto- und IPsec-Codes

Die Entwickler von GeNUA analysierten dabei sowohl den aktuellen als auch den Code aus dem Jahr 2000, als die angebliche Manipulation stattgefunden haben soll. Zusätzlich wurden stichprobenartig Änderungen aus den zehn dazwischen liegenden Jahren geprüft. Dies ist möglich, da der Quellcode einer Revisionsverwaltung unterliegt und jeder Software-Stand seit dem Projektstart 1995 abgerufen werden kann. Bei der Schwachstellen-Analyse wurde der Krypto- und IPsec-Code Zeile für Zeile geprüft und kein Hinweis auf eine Backdoor gefunden.

Bei der Entwicklung und Zertifizierung wird Quellcode geprüft

GeNUA passt die OpenBSD Releases, die für Produkte verwendet werden, stets an die speziellen Anforderungen der Sicherheitslösungen an: In allen Code-Komponenten, die Sicherheits-Features beinhalten, werden bestimmte Funktionen hinzugefügt oder verstärkt. Dieser Code muss somit bei jedem Release von den Entwicklern von GeNUA geprüft, angepasst und getestet werden. Darüber hinaus unterwirft GeNUA die Produkte regelmäßig der Zertifizierung nach Common Criteria (CC) in der StufeEAL 4+. Dieses beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführte Verfahren beinhaltet die Offenlegung und Kontrolle des Quellcodes und schließt auch das Betriebssystem ein.

„Als die Behauptung über die angeblichen Backdoors veröffentlicht wurde, haben wir mit einer umfangreichen Schwachstellen-Analyse die in Frage kommenden Code-Bereiche geprüft und nichts gefunden. Zusammen mit der ständigen Kontrolle des Quellcodes bei der Entwicklung und den regelmäßigen Zertifizierungen kommen wir deshalb zu dem Schluss, dass mit an Sicherheit grenzender Wahrscheinlichkeit diese Backdoors nicht in OpenBSD eingebaut wurden“, sagt Dr. Magnus Harlander, Geschäftsführer der GeNUA mbH.

(ID:2049014)