2. Oktober 2013 Erich Kronfuss/AW

NSA-Pandemie breitet sich aus

Unter Pandemie versteht man eine Länder übergreifende Ausbreitung einer Infektionskrankheit bei Menschen. Seit kurzer Zeit kann dieser Begriff auch auf die NSA-IT Immunschwäche des »Zufalls-Zahlengenerators« angewendet werden. [...]

RSA hat mit der Empfehlung, den Standard-Algorithmus in BSafe auszutauschen, einen Infektionsherd öffentlich gemacht, der das Potenzial hat, sich zu einer europaweiten Ansteckungswelle auszuweiten. Der in BSafe verwendete Dual EC DRBG Algorithmus, welcher auffällig von anderen abweicht, wurde nun als »Backdoor« enthüllt. Hierbei geht es eigentlich nur am Rande um RSA Token. Das wirklich Brisante ist, dass über eine Milliarde Applikationskopien dieses Verschlüsselungstools von RSA an die namhaftesten US-Konzerne der IT-Branche lizenziert wurden.

Bereits 2007 wurde bei der Internationalen Kryptologie Konferenz veröffentlicht, dass der Algorithmus namens Dual EC DRBG« ein nachvollziehbares Muster eingebaut hat. Leider hat es zu diesem Zeitpunkt die Öffentlichkeit nicht interessiert und so ist es ohne Konsequenzen geblieben. Es soll jetzt nicht wie Applaus für die Methoden von Edward Snowden klingen, aber er hat es nun samt handfesten Beweisen publik gemacht.
Der angewandte Algorithmus basiert auf elliptischen Kurven, welche durch eine Reihe von Konstanten beschrieben werden. Da die Herkunft dieser Konstanten nie offengelegt wurde, kann man davon ausgehen, dass sie sich auf einen zweiten externen Satz von Zahlen bezieht, mit dem man eine Art Generalschlüssel bilden kann. Wenn man dies nun im Kontext der Berichterstattungen der letzten Woche sieht, liegt es nahe, dass dieser Generalschlüssel seit einigen Jahren im Besitz der NSA ist. Der Krypto-Guru Bruce Schneier stellte bereits 2007 die Frage, warum sich die NSA mit Nachdruck für die Aufnahme von Dual_EC_DRBG in den N.I.S.T. Standard SP 800-90A eingesetzt hat. Es gab seiner Meinung nach keine technischen Argumente dafür, da der Zufallszahlengenerator um ein vielfaches langsamer als andere zur Auswahl stehende sei.

Ich habe Herstellern von Sicherheitssoftware die Frage gesendet, welche Kryptographie-Verfahren diese einsetzen. Europäische Hersteller bekräftigten, dass sie keine Verfahren nach US-Standards verwenden. RSA rät über eine Milliarde BSafe-Lizenznehmern nun dringend, auf einen anderen Zufallsgenerator umzusteigen.


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*