NSA: "Unterstützung von schwachen Zufallszahlen war ein Fehler"
Andreas Proschofsky
15. Jänner 2015, 12:14
Behörde hätte Support für Dual_EC_DRBG nach Kritik zurückziehen müssen
Es kommt eher selten vor, dass Geheimdienste wie die NSA Fehler
eingestehen. Um so überraschender kommt nun ein Statement des
Forschungsleiters der US-Behörde. Dass man den DUAL_EC_DRBG-Standard zur
Erstellung von Zufallszahlen weiter forciert habe, obwohl
Sicherheitsexperten schnell auf grundlegenden Probleme hingewiesen
hätten, sei eine "bedauernswerte Entscheidung" gewesen, so Michael
Wertheimer laut Threatpost.
Kritik
Bereits im Jahr 2007 hatten Microsoft-Forscher darauf hingewiesen, dass
die Schwächen in der Zufallszahlenerkennung als eine Art zentrales
Backdoor für Verschlüsselungssoftware zu betrachten seien. Sowohl die
NSA als auch das National Institute of Standards and Technology (NIST)
beharrten aber weiter auf die Standardisierung von DUAL_EC_DRBG.
Fragwürdige Perspektive
Freilich ist die Perspektive von Wertheimer eine, die zumindest
fragwürdig ist. Lässt sich doch aus den Snowden-Dokumenten schließen,
dass es sich bei der Forcierung der fehlerhaften Methode zur Erstellung
von Zufallszahlen keineswegs um ein Versehen sondern um eine gezielte
Maßnahme der NSA gehandelt habe. Ein Vorgang der übrigens bis heute das
Vertrauensverhältnis zwischen dem NIST und der Sicherheits-Community
nachhaltig beschädigt hat.
Support
Wirklich erfolgreich war die NSA mit ihrem Vorstoß aber ohnehin nicht.
Aufgrund der Sicherheitsbedenken wurde DUAL_EC_DRBG von kaum einem
Softwarehersteller übernommen. Mit einer Ausnahme: RSA Security hatte
den Algorithmus übernommen - offenbar nach erheblichem Geldfluss durch
die NSA. (apo, derStandard.at, 15.1.2015)
Nachlese
NSA hat Verschlüsselungsstandard gezielt unterwandert
NSA zahlte zehn Millionen Dollar für Software-Backdoor
http://derstandard.at/2000010441844/NSA-Unterstuetzung-von-schwachen-Zufallszahlen-war-ein-Fehler