Abo
  • Services:

Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.

Artikel von Hanno Böck veröffentlicht am
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI.
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI. (Bild: Hanno Böck)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2017 im Rahmen eines Projekts verschiedene Kryptobibliotheken untersuchen lassen. Oberflächliche Informationen über das Projekt sind auf der BSI-Webseite nachzulesen. Doch eine umfangreiche Studie von Kryptobibliotheken, die im Rahmen des Projekts erstellt wurde, ist nicht öffentlich zugänglich. Das BSI verhindert die Veröffentlichung mit Hilfe des Urheberrechts.

Stellenmarkt
  1. Helmut-Schmidt-Universität Universität der Bundeswehr Hamburg, Hamburg
  2. über duerenhoff GmbH, Münster

Das Projekt mit dem Titel Sichere Implementierung einer allgemeinen Kryptobibliothek hat zunächst 18 verschiedene Softwareprojekte analysiert. Das Ziel: Die Entwicklung einer Bibliothek sollte vom BSI unterstützt werden, um generell eine freie Kryptobibliothek bereitzustellen, die bestimmte, vom BSI definierte Anforderungen und Algorithmen unterstützt. Durchgeführt wurde das Projekt von den Firmen Rohde & Schwarz und Hackmanit.

Drei Softwareprojekte kamen in die engere Auswahl und wurden einer detaillierteren Analyse unterzogen: das von OpenBSD entwickelte LibreSSL, das von Mozilla entwickelte NSS und die Bibliothek Botan.

Die Entwicklung von Botan wurde anschließend finanziell vom BSI unterstützt, gefundene Mängel wurden behoben und die Testsuite verbessert. Die Ergebnisse dieser Entwicklung sind in Botan eingeflossen und wurden mit der Version 2.0.1 veröffentlicht. Dazu wurden inzwischen auch einige Dokumente in einem Github-Repository von Rohde & Schwarz publiziert. Was nicht veröffentlicht wurde: die ursprüngliche detaillierte Studie und insbesondere die darin enthaltenen Ergebnisse in Bezug auf die anderen Kryptobibliotheken.

BSI gibt Dokument heraus, verbietet aber eine Veröffentlichung

Dokumente von Behörden müssen in Deutschland im Normalfall auf Anfrage zugänglich gemacht werden. Das ist im Informationsfreiheitsgesetz geregelt. Daher hat Golem.de das BSI um die Herausgabe des Dokuments gebeten. Das Bundesamt hat die Anfrage auch beantwortet und uns die Studie - zunächst auf Papier, später auf unseren expliziten Wunsch hin auch elektronisch - zur Verfügung gestellt.

Allerdings wies uns das BSI darauf hin, dass wir das Dokument auf keinen Fall veröffentlichen dürfen: "Ich möchte Sie darauf hinweisen, dass das Werk einschließlich aller seiner Teile urheberrechtlich geschützt ist", heißt es dazu in einer E-Mail des BSI. "Jede Verwertung außerhalb der engen Grenzen des Urhebergesetzes ist ohne Zustimmung des BSI unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigung, Übersetzung, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen."

Das BSI bestätigt auf Anfrage von Golem.de, dass das Dokument nicht zur Veröffentlichung vorgesehen ist, die Begründung bleibt aber sehr vage: "Bei dem Ihnen vorliegenden Dokument handelt es sich um oben skizzierten Vergleich und nicht um eine eigenständige Studie oder gar ein 'Gutachten zu Kryptobibliotheken'. Die Ergebnisse sind in das Umsetzungskonzept für die Weiterentwicklung geflossen und sind daher nicht zur Veröffentlichung bestimmt."

Entwickler von LibreSSL und NSS nicht informiert

Wir haben bei den Entwicklern der zwei Bibliotheken LibreSSL und Mozillas NSS, die zwar untersucht, aber letztendlich nicht für das Projekt ausgewählt wurden, nachgefragt: Die Entwickler von LibreSSL wussten von dem Projekt nichts, die Anfrage an Mozilla blieb unbeantwortet.

Das BSI bestätigte uns, dass es die Ergebnisse nicht an die Entwickler der anderen Bibliotheken weitergegeben hat: "Der Bibliotheksvergleich enthält zudem keine Empfehlungen zur Verbesserung der Sicherheit der Kryptobibliotheken, sondern für das Entwicklungsprojekt relevante Umsetzungsvorschläge und Aufwandsabschätzungen, die zur internen Planung der Weiterentwicklung der Grundbibliothek notwendig waren."

Wir haben das Dokument gelesen. Informationen über spektakuläre Sicherheitslücken finden sich darin nicht. Trotzdem könnte es für die Entwickler der jeweiligen Bibliotheken hilfreich sein, denn an vielen Stellen stehen sehr konkrete Vorschläge, wie der Code verbessert werden könnte, samt einer Abschätzung, wie viel Aufwand das wäre. So gibt es etwa Hinweise auf Compilerwarnungen und eine Einschätzung, wie schwerwiegend diese sind, außerdem eine Auflistung von Fehlern in den State Machines der TLS-Handshake-Implementierung und Hinweise, an welchen Stellen der Code besser gegen Timing-Angriffe geschützt werden sollte.

Im Fall von Botan wurden diese Empfehlungen umgesetzt, doch auch bei den anderen untersuchten Bibliotheken wäre es sicher sinnvoll, die Ergebnisse zumindest den Entwicklern zugänglich zu machen.

Urheberrecht, um Informationsfreiheit auszuhebeln

Dass eine Behörde versucht, mit Hilfe des Urheberrechts eine Weitergabe von Dokumenten zu verhindern, ist nichts Neues. 2014 hatte das Bundesinnenministerium ein Gutachten über das Europawahlrecht erstellt. Guido Strack vom Verein Whistleblower Netzwerk erhielt das Gutachten mit Hilfe des Informationsfreiheitsgesetzes. Es war jedoch ähnlich wie in unserem Fall mit dem Hinweis versehen, dass das Urheberrecht ihm eine Veröffentlichung verbiete.

Die Open Knowledge Foundation, die das Portal Fragdenstaat.de betreibt, veröffentlichte daraufhin das Gutachten. Das Innenministerium ging dagegen rechtlich vor, unterlag aber letztendlich vor Gericht. Allerdings ist der Fall nicht direkt vergleichbar: Das Gericht entschied, dass das Gutachten keine Schöpfungshöhe hatte, da es in großen Teilen aus Gesetzeszitaten bestand, für die ohnehin kein Urheberrechtsschutz besteht.

Doch auch wenn das BSI den Vergleich von Kryptobibliotheken nicht veröffentlicht haben will: Jeder, der ihn lesen möchte, kann selbst eine Anfrage nach dem Informationsfreiheitsgesetz stellen, beispielsweise über das Portal Fragdenstaat.de oder auch formlos durch ein Schreiben an das BSI. Begründen muss man eine derartige Anfrage nicht.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. 9,99€
  3. (2 Monate Sky Ticket für nur 4,99€)

honk 23. Mai 2018

Doch auf Nachfrage. Und die Studie selbst dürfte auch nur für die Entwickler der anderen...

peschu 03. Mai 2018

Nunja, das ist eine Vermutung deinerseits, aber was genau vertraglich vereinbart wurde...

Tiberius Kirk 20. Apr 2018

Danke, jetzt habe ich es. 177 Seiten, viele Leerseiten, ellenlange Listen... Naja, werde...

Lasse Bierstrom 31. Mär 2018

------------------------------------------------------------------------------- JEDER...

eigs 30. Mär 2018

Ich weis zwar nicht, warum du gerade meine Meinung wissen willst anstatt dich umzusehen...


Folgen Sie uns
       


Subdomain Takeover - Interview mit Moritz Tremmel

Golem.de Redakteur Moritz Tremmel erklärt im Interview die Gefahren der Übernahme von Subdomains.

Subdomain Takeover - Interview mit Moritz Tremmel Video aufrufen
Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Cubesats sollen unhackbar werden
  2. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an
  3. Raumfahrt @Astro_Alex musiziert mit Kraftwerk

IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

    •  /