NSA-Pandemie breitet sich aus

Unter Pandemie versteht man eine Länder übergreifende Ausbreitung einer Infektionskrankheit bei Menschen. Seit kurzer Zeit kann dieser Begriff auch auf die NSA-IT Immunschwäche des »Zufalls-Zahlengenerators« angewendet werden. [...]

RSA hat mit der Empfehlung, den Standard-Algorithmus in BSafe auszutauschen, einen Infektionsherd öffentlich gemacht, der das Potenzial hat, sich zu einer europaweiten Ansteckungswelle auszuweiten. Der in BSafe verwendete Dual EC DRBG Algorithmus, welcher auffällig von anderen abweicht, wurde nun als »Backdoor« enthüllt. Hierbei geht es eigentlich nur am Rande um RSA Token. Das wirklich Brisante ist, dass über eine Milliarde Applikationskopien dieses Verschlüsselungstools von RSA an die namhaftesten US-Konzerne der IT-Branche lizenziert wurden.

Bereits 2007 wurde bei der Internationalen Kryptologie Konferenz veröffentlicht, dass der Algorithmus namens Dual EC DRBG« ein nachvollziehbares Muster eingebaut hat. Leider hat es zu diesem Zeitpunkt die Öffentlichkeit nicht interessiert und so ist es ohne Konsequenzen geblieben. Es soll jetzt nicht wie Applaus für die Methoden von Edward Snowden klingen, aber er hat es nun samt handfesten Beweisen publik gemacht.
Der angewandte Algorithmus basiert auf elliptischen Kurven, welche durch eine Reihe von Konstanten beschrieben werden. Da die Herkunft dieser Konstanten nie offengelegt wurde, kann man davon ausgehen, dass sie sich auf einen zweiten externen Satz von Zahlen bezieht, mit dem man eine Art Generalschlüssel bilden kann. Wenn man dies nun im Kontext der Berichterstattungen der letzten Woche sieht, liegt es nahe, dass dieser Generalschlüssel seit einigen Jahren im Besitz der NSA ist. Der Krypto-Guru Bruce Schneier stellte bereits 2007 die Frage, warum sich die NSA mit Nachdruck für die Aufnahme von Dual_EC_DRBG in den N.I.S.T. Standard SP 800-90A eingesetzt hat. Es gab seiner Meinung nach keine technischen Argumente dafür, da der Zufallszahlengenerator um ein vielfaches langsamer als andere zur Auswahl stehende sei.

Ich habe Herstellern von Sicherheitssoftware die Frage gesendet, welche Kryptographie-Verfahren diese einsetzen. Europäische Hersteller bekräftigten, dass sie keine Verfahren nach US-Standards verwenden. RSA rät über eine Milliarde BSafe-Lizenznehmern nun dringend, auf einen anderen Zufallsgenerator umzusteigen.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*