Abo
  • Services:

Windows NT

Hat der US-Geheimdienst NSA eine Hintertür für Windows ?

Artikel veröffentlicht am ,

Im Rahmen einer detaillierten Untersuchung des Betriebssystems Windows NT durch einen amerikanischen Sicherheitssoftware-Entwickler ist eine Software-Hintertür in den Betriebssystemen Windows 95, 98, NT sowie Windows 2000 (beta) entdeckt worden, die offenbar auf den US-Geheimdienst NSA zurückgeht. Das berichtet der Chaos Computer Club.

Stellenmarkt
  1. Möbelland Hochtaunus GmbH, Bad Homburg
  2. Bosch Gruppe, Bühl

Das hat nachhaltige Auswirkungen, da Microsoft weltweit eingesetzt wird und somit von der NSA (National Security Agency) beispielsweise auch zur Wirtschaftsspionage gegen Deutschland eingesetzt werden kann.

Die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sogenannte "Crypto API", ist gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft signieren lassen, bevor sie in der Crypto API verfügbar sind.

Bei der Integration von externen Verschlüsselungsmodulen werden diese von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA Key geprüft. Zum Zwecke dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem US-Geheimdienst NSA (National Security Agency) zugehörig identifiziert werden; er wird im Programm mit "NSAKEY" bezeichnet.

Aufbauend auf dieser Erkenntnis muss man es als unmöglich bezeichnen, auf der Microsoft Crypto API aufbauend wirklich sichere Verschlüsselung zu betreiben. Denn durch Signierung von der NSA produzierter unsicherer Verschlüsselungsfunktionen ist es möglich, eigentlich sichere Verschlüsselungsmodule zu überspielen.

Für den Anwender bedeutet dies, dass er sich nicht auf die Sicherheit etwaiger Softwareprodukte verlassen kann, selbst wenn diese durch öffentliche Tests und Dokumentation für sicher befunden wurden; denn diese können längst durch manipulierte Versionen der NSA ersetzt worden sein.

"Der wirtschaftliche und gesellschaftliche Schaden durch derartige Hintertüren in amerikanischen Softwareprodukten ist kaum abschätzbar. Es kann einfach nicht angehen, dass die Bundesregierung auf der einen Seite autonome Verschlüsselung fördert, auf der anderen Seite sich selbst auf derartig unsichere Betriebssysteme verlässt", kommentiert CCC-Sprecher Andy Müller-Maguhn den Vorfall; "selbst in sensiblen Bereichen des Bundestages und der Regierung wird Windows eingesetzt".

Club-Sprecher Frank Rieger forderte in dem Zusammenhang eine europäische Open-Source-Software-Initiative für Sicherheitssoftware ohne Hintertüren.

Die Erkenntnisse des amerikanischen Hintertür-Entdeckers gehen sogar noch weiter; auch Angriffsmöglichkeiten durch Ersetzung des NSA-Keys mit einem beliebigen anderen sind vom ihm beschrieben.

Weiterführende Informationen:

Original-Dokumentation des Entdeckers Andrew Fernandes.

Grundlagenpapier zum Finden von Schlüsseln in Datenmengen von Nicko van Someren und Adi Shamir.

Gesetzliche Grundlagen der Schwächung von US-Sicherheitsprodukten für den Export.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Google Pixel 3 und Pixel 3 XL - Hands on

Google hat die neuen Pixel-Smartphones vorgestellt. Das Pixel 3 und das Pixel 3 XL haben vor allem Verbesserungen bei den Kamerafunktionen erhalten. Anfang November kommen beide Geräte zu Preisen ab 850 Euro auf den Markt.

Google Pixel 3 und Pixel 3 XL - Hands on Video aufrufen
Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

Radeon RX 590 im Test: AMDs Grafikkarte leistet viel für ihren Preis
Radeon RX 590 im Test
AMDs Grafikkarte leistet viel für ihren Preis

Der Refresh des Refreshs: AMDs Radeon RX 590 ist eine schnellere Radeon RX 580 und die war schon eine flottere Radeon RX 480. Das Preis-Leistungs-Verhältnis überzeugt dennoch - wer in 1080p oder 1440p spielt, kann zugreifen. Nur der Strombedarf ist happig, wenn auch kühlbar.
Ein Test von Marc Sauter

  1. AMD-Grafikkarte Radeon RX 590 taucht im 3DMark auf
  2. Polaris 30 AMD soll neue Radeon RX mit 12 nm planen
  3. Grafikkarten MSI veröffentlicht die Radeon RX 580/570 Mech 2

Deutsche Darknet-Größe: Wie Lucky demaskiert wurde
Deutsche Darknet-Größe
Wie "Lucky" demaskiert wurde

Alexander U. hat das Forum betrieben, über das die Waffe für den Amoklauf in München verkauft wurde. BKA-Ermittler schildern vor Gericht, wie sie ihm auf die Schliche kamen.
Von Hakan Tanriverdi

  1. Digitales Vermummungsverbot Auch ohne Maske hasst sich's trefflich
  2. Microsoft Translator Neuerungen versprechen bessere Übersetzungen
  3. Sci-Hub Schwedischer ISP blockt Elsevier nach Blockieraufforderung

    •  /