Categories: Sicherheit

NSA-Backdoor: Sicherheitsspezialist sagt Teilnahme an RSA-Konferenz ab

Sicherheitsspezialist Mikko H. Hypponen hat die Teilnahme an der RSA-Konferenz, die vom 24. bis zum 28. Februar in San Francisco stattfinden soll, abgesagt. Der Cheftechnologe von F-Secure sollte dort einen Vortrag zum Thema „Regierungen als Malware-Autoren“ halten. In einem offenen Brief an Art Coviello, Executive Chairman von RSA und an den Chef des Mutterkonzerns EMC, Joseph M. Tucci nennt Hypponen als Grund für seine Absage das halbherzige Dementi von RSA auf einen Reuters-Bericht hin, wonach die Sicherheitsfirma 10 Millionen Dollar von der NSA für einen Backdoor in seiner Software erhalten hat.

Im Verdacht steht dabei RSAs Zufallszahlengenerator, der bislang der bevorzugte Standard in seiner BSAFE-Bibliothek war. Im September warnte die Firma vor der Nutzung des eigenen Produkts, nachdem Berichte von New York Times und weiteren Publikationen über Versuche der National Security Agency (NSA), übliche Verschlüsselungstechniken zu umgehen, erschienen waren. Aufgrund weiterer Dokumente von PRISM-Enthüller Edward Snowden ergab sich dabei auch der Verdacht, dass die NSA auf kryptografische Algorithmen Einfluss nahm und sie so schwächte, dass damit gesicherte Daten für den US-Geheimdienst entschlüsselbar wurden.

Tatsächlich hatte sich ein NSA-Mitarbeiter an den Entwicklungsarbeiten für Dual Elliptic Curve Deterministic Random Bit Generation (Dual EC DRBG) beteiligt. Das lag deshalb nahe, weil die National Security Agency über zahlreiche Kryptografie-Experten verfügt und sich dessen rühmen kann, der größte US-Arbeitgeber ausgebildeter Mathematiker zu sein. Laut New York Times soll die NSA dann ihren Einfluss genutzt haben, um den bewusst abgeschwächten Algorithmus durch das zuständige National Institute of Standards and Technology (NIST) zu einem gültigen Standard erklären zu lassen. Die Beteiligung der NSA wurde von Sicherheitsforschern zwar von Anfang an beargwöhnt, aber die RSA entschied sich dennoch für den standardmäßigen Einsatz des Zufallszahlengenerators, da er „die bestmögliche Sicherheit für unsere Kunden bietet“.

Nach den aktuellen Berichten hat NIST jedoch eine erneute Überprüfung des 2006 akzeptierten Standards eingeleitet und riet ebenfalls bereits „dringend“ von seinem Einsatz ab. RSA setzt Dual EC DRBG selbst nicht mehr ein und überprüft derzeit, wo der umstrittene Algorithmus noch zum Einsatz kommt. Der Anbieter empfiehlt allen Anwendern, auf einen der anderen von insgesamt sechs Zufallszahlengeneratoren auszuweichen, die im Toolkit BSAFE zur Wahl stehen. „Wir geben unseren Kunden Hilfestellung, damit sie in ihrer vorhandenen Implementation die Standardvorgabe für den Zufallszahlengenerator ändern können“, heißt es in einer Erklärung des Unternehmens.

Die Kryptografie-Programmbibliothek BSAFE gehört neben dem Authentifizierungssystem SecurID zu den bekanntesten Produkten von RSA. SecurID soll von der NSA-Hintertür aber nicht betroffen sein, da es einen anderen Algorithmus nutzt, wie eine „RSA nahestehende Quelle“ an Wired weitergab.

Kryptograf Matthew Green von der Johns Hopkins University ist verwundert darüber, dass sich der seit 2007 umstrittene Algorithmus – damals warnten zwei Microsoft-Mitarbeiter vor einer möglichen Hintertür – überhaupt so lange in Gebrauch blieb. „Und der Hammer ist, dass RSA eine Anzahl absolut herausragender Kryptografen beschäftigt“, schreibt er in einem Blogeintrag. „Es ist unwahrscheinlich, dass ihnen allen die Berichte über Dual_EC entgangen sein könnten.“

Wie AllThingsDigital berichtet, boykottieren auch andere Sicherheitsspezialisten die RSA-Konferenz Ende Februar. Als Beispiele nennt das Blog James Williams von der Universität Toronto und Patrick McCulley.

Mikko H. Hypponen von F-Secure sagt Teilnahme an RSA-Konferenz ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago