Abo
  • IT-Karriere:

Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.

Artikel von Hanno Böck veröffentlicht am
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI.
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI. (Bild: Hanno Böck)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2017 im Rahmen eines Projekts verschiedene Kryptobibliotheken untersuchen lassen. Oberflächliche Informationen über das Projekt sind auf der BSI-Webseite nachzulesen. Doch eine umfangreiche Studie von Kryptobibliotheken, die im Rahmen des Projekts erstellt wurde, ist nicht öffentlich zugänglich. Das BSI verhindert die Veröffentlichung mit Hilfe des Urheberrechts.

Stellenmarkt
  1. BWI GmbH, Stetten am kalten Markt
  2. GK Software SE, Berlin, Hamburg

Das Projekt mit dem Titel Sichere Implementierung einer allgemeinen Kryptobibliothek hat zunächst 18 verschiedene Softwareprojekte analysiert. Das Ziel: Die Entwicklung einer Bibliothek sollte vom BSI unterstützt werden, um generell eine freie Kryptobibliothek bereitzustellen, die bestimmte, vom BSI definierte Anforderungen und Algorithmen unterstützt. Durchgeführt wurde das Projekt von den Firmen Rohde & Schwarz und Hackmanit.

Drei Softwareprojekte kamen in die engere Auswahl und wurden einer detaillierteren Analyse unterzogen: das von OpenBSD entwickelte LibreSSL, das von Mozilla entwickelte NSS und die Bibliothek Botan.

Die Entwicklung von Botan wurde anschließend finanziell vom BSI unterstützt, gefundene Mängel wurden behoben und die Testsuite verbessert. Die Ergebnisse dieser Entwicklung sind in Botan eingeflossen und wurden mit der Version 2.0.1 veröffentlicht. Dazu wurden inzwischen auch einige Dokumente in einem Github-Repository von Rohde & Schwarz publiziert. Was nicht veröffentlicht wurde: die ursprüngliche detaillierte Studie und insbesondere die darin enthaltenen Ergebnisse in Bezug auf die anderen Kryptobibliotheken.

BSI gibt Dokument heraus, verbietet aber eine Veröffentlichung

Dokumente von Behörden müssen in Deutschland im Normalfall auf Anfrage zugänglich gemacht werden. Das ist im Informationsfreiheitsgesetz geregelt. Daher hat Golem.de das BSI um die Herausgabe des Dokuments gebeten. Das Bundesamt hat die Anfrage auch beantwortet und uns die Studie - zunächst auf Papier, später auf unseren expliziten Wunsch hin auch elektronisch - zur Verfügung gestellt.

Allerdings wies uns das BSI darauf hin, dass wir das Dokument auf keinen Fall veröffentlichen dürfen: "Ich möchte Sie darauf hinweisen, dass das Werk einschließlich aller seiner Teile urheberrechtlich geschützt ist", heißt es dazu in einer E-Mail des BSI. "Jede Verwertung außerhalb der engen Grenzen des Urhebergesetzes ist ohne Zustimmung des BSI unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigung, Übersetzung, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen."

Das BSI bestätigt auf Anfrage von Golem.de, dass das Dokument nicht zur Veröffentlichung vorgesehen ist, die Begründung bleibt aber sehr vage: "Bei dem Ihnen vorliegenden Dokument handelt es sich um oben skizzierten Vergleich und nicht um eine eigenständige Studie oder gar ein 'Gutachten zu Kryptobibliotheken'. Die Ergebnisse sind in das Umsetzungskonzept für die Weiterentwicklung geflossen und sind daher nicht zur Veröffentlichung bestimmt."

Entwickler von LibreSSL und NSS nicht informiert

Wir haben bei den Entwicklern der zwei Bibliotheken LibreSSL und Mozillas NSS, die zwar untersucht, aber letztendlich nicht für das Projekt ausgewählt wurden, nachgefragt: Die Entwickler von LibreSSL wussten von dem Projekt nichts, die Anfrage an Mozilla blieb unbeantwortet.

Das BSI bestätigte uns, dass es die Ergebnisse nicht an die Entwickler der anderen Bibliotheken weitergegeben hat: "Der Bibliotheksvergleich enthält zudem keine Empfehlungen zur Verbesserung der Sicherheit der Kryptobibliotheken, sondern für das Entwicklungsprojekt relevante Umsetzungsvorschläge und Aufwandsabschätzungen, die zur internen Planung der Weiterentwicklung der Grundbibliothek notwendig waren."

Wir haben das Dokument gelesen. Informationen über spektakuläre Sicherheitslücken finden sich darin nicht. Trotzdem könnte es für die Entwickler der jeweiligen Bibliotheken hilfreich sein, denn an vielen Stellen stehen sehr konkrete Vorschläge, wie der Code verbessert werden könnte, samt einer Abschätzung, wie viel Aufwand das wäre. So gibt es etwa Hinweise auf Compilerwarnungen und eine Einschätzung, wie schwerwiegend diese sind, außerdem eine Auflistung von Fehlern in den State Machines der TLS-Handshake-Implementierung und Hinweise, an welchen Stellen der Code besser gegen Timing-Angriffe geschützt werden sollte.

Im Fall von Botan wurden diese Empfehlungen umgesetzt, doch auch bei den anderen untersuchten Bibliotheken wäre es sicher sinnvoll, die Ergebnisse zumindest den Entwicklern zugänglich zu machen.

Urheberrecht, um Informationsfreiheit auszuhebeln

Dass eine Behörde versucht, mit Hilfe des Urheberrechts eine Weitergabe von Dokumenten zu verhindern, ist nichts Neues. 2014 hatte das Bundesinnenministerium ein Gutachten über das Europawahlrecht erstellt. Guido Strack vom Verein Whistleblower Netzwerk erhielt das Gutachten mit Hilfe des Informationsfreiheitsgesetzes. Es war jedoch ähnlich wie in unserem Fall mit dem Hinweis versehen, dass das Urheberrecht ihm eine Veröffentlichung verbiete.

Die Open Knowledge Foundation, die das Portal Fragdenstaat.de betreibt, veröffentlichte daraufhin das Gutachten. Das Innenministerium ging dagegen rechtlich vor, unterlag aber letztendlich vor Gericht. Allerdings ist der Fall nicht direkt vergleichbar: Das Gericht entschied, dass das Gutachten keine Schöpfungshöhe hatte, da es in großen Teilen aus Gesetzeszitaten bestand, für die ohnehin kein Urheberrechtsschutz besteht.

Doch auch wenn das BSI den Vergleich von Kryptobibliotheken nicht veröffentlicht haben will: Jeder, der ihn lesen möchte, kann selbst eine Anfrage nach dem Informationsfreiheitsgesetz stellen, beispielsweise über das Portal Fragdenstaat.de oder auch formlos durch ein Schreiben an das BSI. Begründen muss man eine derartige Anfrage nicht.



Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. mit Gutschein: NBBX570

honk 23. Mai 2018

Doch auf Nachfrage. Und die Studie selbst dürfte auch nur für die Entwickler der anderen...

peschu 03. Mai 2018

Nunja, das ist eine Vermutung deinerseits, aber was genau vertraglich vereinbart wurde...

Tiberius Kirk 20. Apr 2018

Danke, jetzt habe ich es. 177 Seiten, viele Leerseiten, ellenlange Listen... Naja, werde...

Lasse Bierstrom 31. Mär 2018

------------------------------------------------------------------------------- JEDER...

eigs 30. Mär 2018

Ich weis zwar nicht, warum du gerade meine Meinung wissen willst anstatt dich umzusehen...


Folgen Sie uns
       


Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019)

Von außen ist das Razer Blade Stealth wieder einmal unscheinbar. Das macht das Gerät für uns besonders, da darin potente Hardware steckt, etwa eine Geforce GTX 1650.

Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019) Video aufrufen
iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

    •  /