ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Netzpolitik

NSA zahlte RSA Security 10 Mio. US-Dollar für Hintertür

Ferdinand Thommes
41 Kommentare

Im September waren aufgrund von Dokumenten des Whistleblowers Edward Snowden Unsicherheiten in RSAs Crypto-Bibliothek BTAKE belegt worden, jetzt warnt die Firma RSA Security vor ihrem eigenen Produkt. Hintergrund sind neue Enthüllungen, die belegen, dass die NSA 10 Millionen Dollar an RSA Security gezahlt habe.

Das Geld war der Lohn, um den von der NSA entwickelten bekanntermaßen unsicheren Zufallsgenerator Dual_EC_DRBG als Standard in der Verschlüsselungssoftware BSAFE einzusetzen. Dual_EC_DRBG ist einer von vier vom National Institute of Standards and Technology (NIST) zugelassenen kryptographisch sicheren Zufallszahlengeneratoren (PRNG). Bereits 2007 hatten Microsoft-Mitarbeiter Schwächen im Algorithmus entdeckt, die als Backdoor ausgenutzt werden könnten. Im September 2013 hatte das NIST dann vor der Verwendung von Dual_EC_DRBG gewarnt.

Jetzt berichtete die Nachrichtenagentur Reuters unter Berufung auf zwei mit RSAs BSAFE-Software vertrauten Personen, die NSA habe RSA Security dafür bezahlt, den Zufallszahlengenerator Dual_EC_DRBG als Standard für die Erzeugung kryptografischer Schlüssel in BSAFE zu machen. Krypto-Experten sind sich ziemlich einig, dass Dual_EC_DRBG eine Hintertür der NSA enthält.

Sicherheitsexperte Bruce Schneier, der an der Analyse der neuen Dokumente beteiligt war, sagte dazu, dass jetzt, wo belegt sei, „dass die NSA Unternehmen besticht“, wisse man nun berechtigterweise nicht mehr, wem man trauen könne. Er fährt fort, die jetzige Enthüllung sei wichtig, da sie Vermutungen über die Taktiken der NSA bestätigt. „Glaubt wirklich jemand, die hätten in all ihren Operationen nur eine Firma bestochen? Hier geht es vielmehr darum, dass wir nicht wissen, wer sonst noch verwickelt war“, sagte Schneier.

BSAFE wird nach Aussagen von RSA Security in Tausenden kommerzieller Programme eingesetzt und ein Austausch der Algorithmen ist schwierig und langwierig. Beim ebenfalls betroffenen OpenSSL liegt der Fall anders, da dort Dual_EC_DRBG nicht als Standard voreingestellt ist, sondern explizit ausgewählt werden muss. Jetzt wird der Zufallsgenerator aus OpenSSL entfernt.

Um solche Praktiken zukünftig auszuschließen, hat die Kommission, die dem Weißen Haus Vorschläge zu einer Neuordnung der NSA vorlegen soll, beantragt, der NSA zu verbieten, Einfluss auf Verschlüsselungsverfahren zu nehmen. Eine Entscheidung über die Vorschläge der Kommission steht noch aus.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz