Abo
  • IT-Karriere:

Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.

Artikel von Hanno Böck veröffentlicht am
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI.
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI. (Bild: Hanno Böck)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2017 im Rahmen eines Projekts verschiedene Kryptobibliotheken untersuchen lassen. Oberflächliche Informationen über das Projekt sind auf der BSI-Webseite nachzulesen. Doch eine umfangreiche Studie von Kryptobibliotheken, die im Rahmen des Projekts erstellt wurde, ist nicht öffentlich zugänglich. Das BSI verhindert die Veröffentlichung mit Hilfe des Urheberrechts.

Stellenmarkt
  1. Technische Universität München, München
  2. Systemhaus Scheuschner GmbH, Hannover

Das Projekt mit dem Titel Sichere Implementierung einer allgemeinen Kryptobibliothek hat zunächst 18 verschiedene Softwareprojekte analysiert. Das Ziel: Die Entwicklung einer Bibliothek sollte vom BSI unterstützt werden, um generell eine freie Kryptobibliothek bereitzustellen, die bestimmte, vom BSI definierte Anforderungen und Algorithmen unterstützt. Durchgeführt wurde das Projekt von den Firmen Rohde & Schwarz und Hackmanit.

Drei Softwareprojekte kamen in die engere Auswahl und wurden einer detaillierteren Analyse unterzogen: das von OpenBSD entwickelte LibreSSL, das von Mozilla entwickelte NSS und die Bibliothek Botan.

Die Entwicklung von Botan wurde anschließend finanziell vom BSI unterstützt, gefundene Mängel wurden behoben und die Testsuite verbessert. Die Ergebnisse dieser Entwicklung sind in Botan eingeflossen und wurden mit der Version 2.0.1 veröffentlicht. Dazu wurden inzwischen auch einige Dokumente in einem Github-Repository von Rohde & Schwarz publiziert. Was nicht veröffentlicht wurde: die ursprüngliche detaillierte Studie und insbesondere die darin enthaltenen Ergebnisse in Bezug auf die anderen Kryptobibliotheken.

BSI gibt Dokument heraus, verbietet aber eine Veröffentlichung

Dokumente von Behörden müssen in Deutschland im Normalfall auf Anfrage zugänglich gemacht werden. Das ist im Informationsfreiheitsgesetz geregelt. Daher hat Golem.de das BSI um die Herausgabe des Dokuments gebeten. Das Bundesamt hat die Anfrage auch beantwortet und uns die Studie - zunächst auf Papier, später auf unseren expliziten Wunsch hin auch elektronisch - zur Verfügung gestellt.

Allerdings wies uns das BSI darauf hin, dass wir das Dokument auf keinen Fall veröffentlichen dürfen: "Ich möchte Sie darauf hinweisen, dass das Werk einschließlich aller seiner Teile urheberrechtlich geschützt ist", heißt es dazu in einer E-Mail des BSI. "Jede Verwertung außerhalb der engen Grenzen des Urhebergesetzes ist ohne Zustimmung des BSI unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigung, Übersetzung, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen."

Das BSI bestätigt auf Anfrage von Golem.de, dass das Dokument nicht zur Veröffentlichung vorgesehen ist, die Begründung bleibt aber sehr vage: "Bei dem Ihnen vorliegenden Dokument handelt es sich um oben skizzierten Vergleich und nicht um eine eigenständige Studie oder gar ein 'Gutachten zu Kryptobibliotheken'. Die Ergebnisse sind in das Umsetzungskonzept für die Weiterentwicklung geflossen und sind daher nicht zur Veröffentlichung bestimmt."

Entwickler von LibreSSL und NSS nicht informiert

Wir haben bei den Entwicklern der zwei Bibliotheken LibreSSL und Mozillas NSS, die zwar untersucht, aber letztendlich nicht für das Projekt ausgewählt wurden, nachgefragt: Die Entwickler von LibreSSL wussten von dem Projekt nichts, die Anfrage an Mozilla blieb unbeantwortet.

Das BSI bestätigte uns, dass es die Ergebnisse nicht an die Entwickler der anderen Bibliotheken weitergegeben hat: "Der Bibliotheksvergleich enthält zudem keine Empfehlungen zur Verbesserung der Sicherheit der Kryptobibliotheken, sondern für das Entwicklungsprojekt relevante Umsetzungsvorschläge und Aufwandsabschätzungen, die zur internen Planung der Weiterentwicklung der Grundbibliothek notwendig waren."

Wir haben das Dokument gelesen. Informationen über spektakuläre Sicherheitslücken finden sich darin nicht. Trotzdem könnte es für die Entwickler der jeweiligen Bibliotheken hilfreich sein, denn an vielen Stellen stehen sehr konkrete Vorschläge, wie der Code verbessert werden könnte, samt einer Abschätzung, wie viel Aufwand das wäre. So gibt es etwa Hinweise auf Compilerwarnungen und eine Einschätzung, wie schwerwiegend diese sind, außerdem eine Auflistung von Fehlern in den State Machines der TLS-Handshake-Implementierung und Hinweise, an welchen Stellen der Code besser gegen Timing-Angriffe geschützt werden sollte.

Im Fall von Botan wurden diese Empfehlungen umgesetzt, doch auch bei den anderen untersuchten Bibliotheken wäre es sicher sinnvoll, die Ergebnisse zumindest den Entwicklern zugänglich zu machen.

Urheberrecht, um Informationsfreiheit auszuhebeln

Dass eine Behörde versucht, mit Hilfe des Urheberrechts eine Weitergabe von Dokumenten zu verhindern, ist nichts Neues. 2014 hatte das Bundesinnenministerium ein Gutachten über das Europawahlrecht erstellt. Guido Strack vom Verein Whistleblower Netzwerk erhielt das Gutachten mit Hilfe des Informationsfreiheitsgesetzes. Es war jedoch ähnlich wie in unserem Fall mit dem Hinweis versehen, dass das Urheberrecht ihm eine Veröffentlichung verbiete.

Die Open Knowledge Foundation, die das Portal Fragdenstaat.de betreibt, veröffentlichte daraufhin das Gutachten. Das Innenministerium ging dagegen rechtlich vor, unterlag aber letztendlich vor Gericht. Allerdings ist der Fall nicht direkt vergleichbar: Das Gericht entschied, dass das Gutachten keine Schöpfungshöhe hatte, da es in großen Teilen aus Gesetzeszitaten bestand, für die ohnehin kein Urheberrechtsschutz besteht.

Doch auch wenn das BSI den Vergleich von Kryptobibliotheken nicht veröffentlicht haben will: Jeder, der ihn lesen möchte, kann selbst eine Anfrage nach dem Informationsfreiheitsgesetz stellen, beispielsweise über das Portal Fragdenstaat.de oder auch formlos durch ein Schreiben an das BSI. Begründen muss man eine derartige Anfrage nicht.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 24,99€
  3. (u. a. FIFA 19, Battlefield V, Space Huilk Tactics, Rainbow Six Siege)
  4. (-25%) 44,99€

honk 23. Mai 2018

Doch auf Nachfrage. Und die Studie selbst dürfte auch nur für die Entwickler der anderen...

peschu 03. Mai 2018

Nunja, das ist eine Vermutung deinerseits, aber was genau vertraglich vereinbart wurde...

Tiberius Kirk 20. Apr 2018

Danke, jetzt habe ich es. 177 Seiten, viele Leerseiten, ellenlange Listen... Naja, werde...

Lasse Bierstrom 31. Mär 2018

------------------------------------------------------------------------------- JEDER...

eigs 30. Mär 2018

Ich weis zwar nicht, warum du gerade meine Meinung wissen willst anstatt dich umzusehen...


Folgen Sie uns
       


Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test

Die Geforce RTX 2070 Super und die Geforce RTX 2060 Super sind Nvidias neue Grafikkarten für 530 Euro sowie 420 Euro. Beide haben 8 GByte Videospeicher und unterstützen Raytracing in Spielen.

Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

    •  /