Categories: Software

Microsoft: „Keine Hintertür in Windows eingebaut“

Microsoft (Börse Frankfurt: MSF) hat Angaben, wonach seine Betriebssysteme Windows 95, 98, NT sowie die Betaversion von Windows 2000 eine Hintertür für den US-Geheimdienst National Security Agency (NSA) enthalten würden, zurückgewiesen. Diese Behauptung hatte am Freitag unter anderem der Chaos Computer Club (CCC) unter Berufung auf den Entwickler Andrew Fernandes aufgestellt.

Der Windows-NT-Security-Produktmanager Scott Culp nannte die Affäre einen „Sturm im Wasserglas“: Die vermeintliche Hintertür – ein Schlüssel mit der Bezeichnung „NSAKEY“ – diene lediglich dazu, die vom Wirtschaftsministerium geforderte digitale Signatur von Unternehmen zu überprüfen. „Sie ist da, weil wir damit die Export-Kontrollbestimmungen einhalten, die die NSA überwacht“, erklärte Culp.

Er räumte ein, Microsoft habe sich bei der Namensgebung ungeschickt verhalten: „Es ist ein wirklich blöder Name“, sagte Culp, „wir werden ihn anschließend wohl ändern“. Microsoft habe den Schlüssel, also den Zugang zu den Betriebssystemen, jedoch nicht an den Geheimdienst weitergegeben: „Das ist absolut gegen unsere Geschäftsbedingungen“, beteuerte Culp.

Microsoft hatte in seinem Dementi zudem erklärt, Fernandes Firma Cryptonym biete eine Software (www.cryptonym.com/…) zum Schließen der vermeintlichen Hintertür an und verdiene so ihr Geld. Die Software, derzeit nur für Windows NT und 2000 erhältlich, ist jedoch kostenlos zu haben.

Der renommierte Sicherheitsexperte Richard Smith, Chef von Phar Lap Software, bewertete die Sicherheitslücke allerdings als „eher klein“ und konstatierte: „Wie in den meisten Fällen ist dort, wo Rauch ist, auch Feuer. Aber in diesem Fall ist das Feuer nicht sehr heiß.“

Der CCC, beziehungsweise Fernandes, hatten erklärt, daß die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sogenannte „Crypto API“, gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt sei. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft (Börse Frankfurt: MSF) signieren lassen, bevor sie in der Crypto API verfügbar sind.

Bei der Integration von externen Verschlüsselungsmodulen werden diese laut CCC von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA-Key geprüft. Zum Zweck dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem Geheimdienst NSA zugehörig identifiziert werden. Er wird im Programm als „NSAKEY“ bezeichnet.

Deswegen sei eine sichere Verschlüsselung mit der Microsoft Crypto API nicht möglich, stell der CCC fest.

Kontakt: Microsoft, Tel.: 089/31760

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

12 Stunden ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Tag ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Tag ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Tag ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

2 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

3 Tagen ago