Bürgerrechtler verurteilen Microsoft

Den Beteuerungen von Microsoft (Börse Frankfurt: MSF), die am Freitag aufgedeckte Hintertür für den US-Geheimdienst NSA (National Security Agency) in den Betriebssystemen Windows 95, 98, NT sowie der Betaversion von Windows 2000 diene nicht der Spionage, wollen viele Bürgerrechtsgruppen keinen Glauben schenken.

Microsoft hatte erklärt, der „NSAkey“ für das Microsoft Cryptographic API (MS-CAPI) sei dem Geheimdienst nicht zugänglich gemacht worden. Er trage lediglich einen mißverständlichen Namen, da die NSA zuständig sei für die Exportkontrolle von Verschlüsselungssoftware. Der Schlüssel sei nur für Notfälle gedacht, etwa wenn der erste, offizielle Schlüssel „verlegt“ worden sei.

Allerdings gibt der Direktor der in London ansässigen Foundation for Information Policy Research ( FIPR ), Caspar Bowden, zu bedenken: „Ein Einbau eines Notfall-Schlüssels macht nur Sinn, wenn er soetwas wie ein Ersatz für den Erstschlüssel ist. Das ist er aber nicht, sondern ein eigenständiger Eingang in das System“.

Entsprechend mißtrauisch ist sein Kollege Simon Davies von der Bürgerrechtsvereinigung Privacy International, gegenüber Microsoft: „Ich glaube ihnen nicht. Der Verlust des Erstschlüssels, der in der Regel an verschiedenen Orten dieser Welt deponiert wird, könnte doch nur durch einen Meteoriteneinschlag von globalem Ausmaß passieren“. Der Direktor sieht Microsoft in der Verantwortung: „Anstatt abzuwiegeln und zu leugnen, hätte das Unternehmen anfangen sollen, offen über die Bestimmungen der US-Regierung an Softwarefirmen zu sprechen.“

Am Freitag hatte der Chaos Computer Club (CCC) unter Berufung auf den Entwickler Andrew Fernandes erklärt, daß die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sogenannte „Crypto API“, gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt sei. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft (Börse Frankfurt: MSF) signieren lassen, bevor sie in der Crypto API verfügbar sind.

Bei der Integration von externen Verschlüsselungsmodulen werden diese laut CCC von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA-Key geprüft. Zum Zweck dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem Geheimdienst NSA zugehörig identifiziert werden. Er wird im Programm als „NSAkey“ bezeichnet.

Kontakt: Microsoft, Tel.: 089/31760