Abo
  • Services:
Anzeige
Das Unternehmen RSA Security demetiert, von der NSA Geld für eine Hintertür bekommen zu haben.
Das Unternehmen RSA Security demetiert, von der NSA Geld für eine Hintertür bekommen zu haben. (Bild: RSA Security)

Verschlüsselung: RSA dementiert "geheimen Vertrag" mit der NSA

Das Sicherheitsunternehmen RSA Security hat dementiert, in einem geheimen Vertrag mit der NSA dafür zu sorgen, dass Verschlüsselung mit Hintertüren in ihren Produkten eingesetzt wird.

Anzeige

Das Unternehmen RSA Security weist Anschuldigungen zurück, wonach es einen "geheimen Vertrag" mit der NSA abgeschlossen habe, um Verschlüsselung mit einer Hintertür in seine Software einzusetzen. Das Unternehmen habe sich auch nie an Projekten beteiligt, um bewusst Verschlüsselung und damit seine eigenen Produkte zu schwächen.

Laut einem Bericht von Reuters soll RSA Security 10 Millionen US-Dollar dafür bekommen haben, den umstrittenen Zufallsgenerator Dual_EC_DRBG in seiner Software BSafe als Standard einzusetzen. Das gehe aus Unterlagen hervor, die Edward Snowden bei der NSA gefunden habe. Bislang sind die Dokumente noch nicht veröffentlicht worden.

Längst Zweifel an Dual_EC_DRBG

Bereits kurz nach der Veröffentlichung von Dual_EC_DRBG hatten Experten Schwächen in dem Zufallsgenerator entdeckt, der Zufallszahlen mit Hilfe elliptischer Kurven errechnet, berichtet der Kryptograph Matthew Green in seinem Blog. Das Unternehmen habe Dual_EC_DRBG 2004 als Standard in seinem BSafe-Toolkit aufgenommen. Damals habe es industrieweite Anstrengungen gegeben, stärkere Verschlüsselung zu entwickeln, schreibt RSA Security in seinem Blog. Die NSA sei zu dem Zeitpunkt ein vertrauenswürdiger Partner innerhalb der Sicherheitsgemeinschaft gewesen, der mit dazu beigetragen habe, Verschlüsselung zu stärken und nicht zu schwächen.

Weit verbreitet

Dual_EC_DRBG sei im Übrigen nur einer von vielen Standards in BSafe. Es sei den Kunden überlassen, welchen davon sie nutzten, schreibt RSA Security. Dessen Software kommt weltweit in Millionen von Produkten zum Einsatz, beispielsweise bei der Verschlüsselung von USB-Sticks. Außerdem setzen auch Behörden die Software ein, etwa um kritische Infrastrukturen zu schützen.

2007 hatten die Microsoft-Mitarbeiter Dan Shumow und Niels Ferguson darüber spekuliert, dass Dual_EC_DRBG eine Hintertür der NSA enthielt. RSA Security habe dennoch an dem Zufallsgenerator festgehalten, weil die US-Behörde Nist (National Institute of Standards and Technology) Dual_EC_DRBG weiterhin als vertrauenswürdig einstufte.

Reaktion auf Nist-Empfehlung

Erst nachdem das Nist im Zuge von weiteren Veröffentlichungen von Dokumenten aus dem Snowden-Fundus Dual-EC-DRBG im September 2013 als nicht mehr vertrauenswürdig eingestuft hat, empfahl auch RSA Security, den Zufallsgenerator nicht mehr zu verwenden. RSA Security habe dies ebenfalls offen diskutiert.

Die Höhe der von Reuters genannten Summe von 10 Millionen US-Dollar sorgt indes für weitere Spekulationen. Der Vertrag zwischen der NSA und RSA Security soll 2006 zustande gekommen sein, zu dem Zeitpunkt, als das Sicherheitsunternehmen vom jetzigen Besitzer EMC für 2,1 Milliarden US-Dollar übernommen wurde. Im Vergleich lesen sich die Zahlungen der NSA an RSA Securtity als sehr niedrig. Allerdings habe die Abteilung, die BSafe entwickelte, im Jahr zuvor lediglich einen Umsatz von 27,5 Millionen US-Dollar gehabt, so Reuters. Damit habe die von der NSA gezahlte Summe ein Drittel des Umsatzes ausgemacht. RSA Security will keine Details zu Verträgen mit seinen Kunden veröffentlichen, schreibt das Sicherheitsunternehmen in seinem Dementi.

Fähigkeiten der NSA infrage gestellt

Indes äußern Kryptoexperten Zweifel an den Fähigkeiten der NSA-Entwickler. In einem Antrag plädiert Trevor Perrin dafür, den NSA-Mitarbeiter Kevin Igoe als Beisitzer aus dem Crypto Forum Research Group (CFRG) zu entfernen. Die CFRG berät unter anderem die Internet Engineering Task Force (IETF) beim Einsatz von Verschlüsselung als Internetstandard.

Igoe habe sich auffällig für den Einsatz für Dragonfly eingesetzt, ein Schlüsselaustauschprotokoll (Password-Authenticated Key Exchange, PAKE), das nach heftiger Kritik nicht mehr von der TLS-Arbeitsgruppe des Internet Engineering Task Force (IETF) weiterentwickelt wurde. Dragonfly verwendet ebenfalls elliptische Kurven. Unklar sei, warum sich ein solch erfahrener Kryptographieexperte wie Igoe für das fehlerbehaftete Dragonfly-Protokoll eingesetzt habe. Das IETF benötige aber Experten, die vertrauenswürdig seien, schreibt Perrin.


eye home zur Startseite
Anonymer Nutzer 23. Dez 2013

... von Snowden haben bisher immer die Wahrheit gesagt. Ich glaube RSA inkl. der...

Ketchupflasche 23. Dez 2013

Widersprüchliche Angaben aus den USA. Snowden würde angeblich nicht gefoltert werden...

pylaner 23. Dez 2013

Egal wer jetzt dazu was von sich gibt, Vertrauen ist was anderes und wurde mit der...



Anzeige

Stellenmarkt
  1. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  2. ING-DiBa AG, Nürnberg
  3. über Ratbacher GmbH, Berlin
  4. Zühlke Engineering GmbH, Eschborn (bei Frankfurt am Main), München, Hannover, Hamburg


Anzeige
Hardware-Angebote
  1. 379,90€
  2. (Core i7-6700HQ + GeForce GTX 1070)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  2. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  3. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  4. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  5. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  6. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  7. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  8. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  9. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  10. Raumfahrt

    Europa bleibt im All



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Udacity: Selbstfahrendes Auto selbst programmieren
Udacity
Selbstfahrendes Auto selbst programmieren
  1. Strategiepapier EU fordert europaweite Standards für vernetzte Autos
  2. Autonomes Fahren Comma One veröffentlicht Baupläne für Geohot-Nachrüstsatz
  3. Autonomes Fahren Intel baut Prozessoren für Delphi und Mobileye

Oneplus 3T im Test: Schneller, ausdauernder und immer noch günstig
Oneplus 3T im Test
Schneller, ausdauernder und immer noch günstig
  1. Smartphone Oneplus 3T mit 128 GByte wird nicht zu Weihnachten geliefert
  2. Android-Smartphone Oneplus Three wird nach fünf Monaten eingestellt
  3. Oneplus 3T Oneplus bringt Three mit besserem Akku und SoC

Seoul-Incheon Ecobee ausprobiert: Eine sanfte Magnetbahnfahrt im Nirgendwo
Seoul-Incheon Ecobee ausprobiert
Eine sanfte Magnetbahnfahrt im Nirgendwo
  1. Transport Hyperloop One plant Trasse in Dubai

  1. Re: Transparenz zum Kündigungstermin ist Schwachsinn!

    Cok3.Zer0 | 01:09

  2. Re: 4000¤ - WTF?

    EatThis81 | 00:48

  3. Re: Schon wieder eine Sicherheitslücke bei Apple...

    Niaxa | 00:34

  4. Wurde hier eigentlich schon darüber berichtet, daß...

    6502 | 00:23

  5. Re: P2W

    mnementh | 00:22


  1. 12:54

  2. 11:56

  3. 10:54

  4. 10:07

  5. 08:59

  6. 08:00

  7. 00:03

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel