2. Oktober 2013 Erich Kronfuss/AW

NSA-Pandemie breitet sich aus

Unter Pandemie versteht man eine Länder übergreifende Ausbreitung einer Infektionskrankheit bei Menschen. Seit kurzer Zeit kann dieser Begriff auch auf die NSA-IT Immunschwäche des »Zufalls-Zahlengenerators« angewendet werden. [...]

RSA hat mit der Empfehlung, den Standard-Algorithmus in BSafe auszutauschen, einen Infektionsherd öffentlich gemacht, der das Potenzial hat, sich zu einer europaweiten Ansteckungswelle auszuweiten. Der in BSafe verwendete Dual EC DRBG Algorithmus, welcher auffällig von anderen abweicht, wurde nun als »Backdoor« enthüllt. Hierbei geht es eigentlich nur am Rande um RSA Token. Das wirklich Brisante ist, dass über eine Milliarde Applikationskopien dieses Verschlüsselungstools von RSA an die namhaftesten US-Konzerne der IT-Branche lizenziert wurden.

Bereits 2007 wurde bei der Internationalen Kryptologie Konferenz veröffentlicht, dass der Algorithmus namens Dual EC DRBG« ein nachvollziehbares Muster eingebaut hat. Leider hat es zu diesem Zeitpunkt die Öffentlichkeit nicht interessiert und so ist es ohne Konsequenzen geblieben. Es soll jetzt nicht wie Applaus für die Methoden von Edward Snowden klingen, aber er hat es nun samt handfesten Beweisen publik gemacht.
Der angewandte Algorithmus basiert auf elliptischen Kurven, welche durch eine Reihe von Konstanten beschrieben werden. Da die Herkunft dieser Konstanten nie offengelegt wurde, kann man davon ausgehen, dass sie sich auf einen zweiten externen Satz von Zahlen bezieht, mit dem man eine Art Generalschlüssel bilden kann. Wenn man dies nun im Kontext der Berichterstattungen der letzten Woche sieht, liegt es nahe, dass dieser Generalschlüssel seit einigen Jahren im Besitz der NSA ist. Der Krypto-Guru Bruce Schneier stellte bereits 2007 die Frage, warum sich die NSA mit Nachdruck für die Aufnahme von Dual_EC_DRBG in den N.I.S.T. Standard SP 800-90A eingesetzt hat. Es gab seiner Meinung nach keine technischen Argumente dafür, da der Zufallszahlengenerator um ein vielfaches langsamer als andere zur Auswahl stehende sei.

Ich habe Herstellern von Sicherheitssoftware die Frage gesendet, welche Kryptographie-Verfahren diese einsetzen. Europäische Hersteller bekräftigten, dass sie keine Verfahren nach US-Standards verwenden. RSA rät über eine Milliarde BSafe-Lizenznehmern nun dringend, auf einen anderen Zufallsgenerator umzusteigen.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*