Abo
  • Services:

Windows NT

Hat der US-Geheimdienst NSA eine Hintertür für Windows ?

Artikel veröffentlicht am ,

Im Rahmen einer detaillierten Untersuchung des Betriebssystems Windows NT durch einen amerikanischen Sicherheitssoftware-Entwickler ist eine Software-Hintertür in den Betriebssystemen Windows 95, 98, NT sowie Windows 2000 (beta) entdeckt worden, die offenbar auf den US-Geheimdienst NSA zurückgeht. Das berichtet der Chaos Computer Club.

Stellenmarkt
  1. UX Gruppe, Gilching
  2. Stadtwerke München GmbH, München

Das hat nachhaltige Auswirkungen, da Microsoft weltweit eingesetzt wird und somit von der NSA (National Security Agency) beispielsweise auch zur Wirtschaftsspionage gegen Deutschland eingesetzt werden kann.

Die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sogenannte "Crypto API", ist gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft signieren lassen, bevor sie in der Crypto API verfügbar sind.

Bei der Integration von externen Verschlüsselungsmodulen werden diese von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA Key geprüft. Zum Zwecke dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem US-Geheimdienst NSA (National Security Agency) zugehörig identifiziert werden; er wird im Programm mit "NSAKEY" bezeichnet.

Aufbauend auf dieser Erkenntnis muss man es als unmöglich bezeichnen, auf der Microsoft Crypto API aufbauend wirklich sichere Verschlüsselung zu betreiben. Denn durch Signierung von der NSA produzierter unsicherer Verschlüsselungsfunktionen ist es möglich, eigentlich sichere Verschlüsselungsmodule zu überspielen.

Für den Anwender bedeutet dies, dass er sich nicht auf die Sicherheit etwaiger Softwareprodukte verlassen kann, selbst wenn diese durch öffentliche Tests und Dokumentation für sicher befunden wurden; denn diese können längst durch manipulierte Versionen der NSA ersetzt worden sein.

"Der wirtschaftliche und gesellschaftliche Schaden durch derartige Hintertüren in amerikanischen Softwareprodukten ist kaum abschätzbar. Es kann einfach nicht angehen, dass die Bundesregierung auf der einen Seite autonome Verschlüsselung fördert, auf der anderen Seite sich selbst auf derartig unsichere Betriebssysteme verlässt", kommentiert CCC-Sprecher Andy Müller-Maguhn den Vorfall; "selbst in sensiblen Bereichen des Bundestages und der Regierung wird Windows eingesetzt".

Club-Sprecher Frank Rieger forderte in dem Zusammenhang eine europäische Open-Source-Software-Initiative für Sicherheitssoftware ohne Hintertüren.

Die Erkenntnisse des amerikanischen Hintertür-Entdeckers gehen sogar noch weiter; auch Angriffsmöglichkeiten durch Ersetzung des NSA-Keys mit einem beliebigen anderen sind vom ihm beschrieben.

Weiterführende Informationen:

Original-Dokumentation des Entdeckers Andrew Fernandes.

Grundlagenpapier zum Finden von Schlüsseln in Datenmengen von Nicko van Someren und Adi Shamir.

Gesetzliche Grundlagen der Schwächung von US-Sicherheitsprodukten für den Export.



Anzeige
Hardware-Angebote
  1. bei Caseking kaufen
  2. ab 349€

Folgen Sie uns
       


The Cleaners - Interview mit den Regisseuren

Die beiden deutschen Regisseure Moritz Riesewieck und Hans Block schildern im Interview mit Golem.de Hintergründe über ihren Dokumentationsfilm The Cleaners.

The Cleaners - Interview mit den Regisseuren Video aufrufen
EU-Urheberrechtsreform: Wie die Affen auf der Schreibmaschine
EU-Urheberrechtsreform
Wie die Affen auf der Schreibmaschine

Nahezu wöchentlich liegen inzwischen neue Vorschläge zum europäischen Leistungsschutzrecht und zu Uploadfiltern auf dem Tisch. Sie sind dilettantische Versuche, schlechte Konzepte irgendwie in Gesetzesform zu gießen.
Ein IMHO von Friedhelm Greis

  1. Leistungsschutzrecht VG Media darf Google weiterhin bevorzugen
  2. EU-Verhandlungen Regierung fordert deutsche Version des Leistungsschutzrechts
  3. Fake News EU-Kommission fordert Verhaltenskodex für Online-Plattformen

Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Xbox Adaptive Controller ausprobiert: 19 x Klinke, 1 x Controller, 0 x Probleme
Xbox Adaptive Controller ausprobiert
19 x Klinke, 1 x Controller, 0 x Probleme

Microsoft steigt in den Markt der zugänglichen Geräte ein. Der Xbox Adaptive Controller ermöglicht es Menschen mit temporärer oder dauerhafter Bewegungseinschränkung zu spielen, ohne enorm viel Geld auszugeben. Wir haben es auf dem Microsoft Campus in Redmond ausprobiert.
Von Andreas Sebayang

  1. Firmware Xbox One erhält Option für 120-Hz-Bildfrequenz
  2. AMD Freesync Xbox One erhält variable Bildraten
  3. Xbox One Streamer können Gamepad mit Spieler teilen

    •  /