Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.

Artikel von Hanno Böck veröffentlicht am
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI.
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI. (Bild: Hanno Böck)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2017 im Rahmen eines Projekts verschiedene Kryptobibliotheken untersuchen lassen. Oberflächliche Informationen über das Projekt sind auf der BSI-Webseite nachzulesen. Doch eine umfangreiche Studie von Kryptobibliotheken, die im Rahmen des Projekts erstellt wurde, ist nicht öffentlich zugänglich. Das BSI verhindert die Veröffentlichung mit Hilfe des Urheberrechts.

Stellenmarkt
  1. Senior Transition Projektleiter (w/m/d)
    Bechtle Onsite Services GmbH, Neckarsulm
  2. Embedded Software Testingenieur (m/w/d) Server-Networking-Telekom
    Delta Energy Systems (Germany) GmbH, Soest
Detailsuche

Das Projekt mit dem Titel Sichere Implementierung einer allgemeinen Kryptobibliothek hat zunächst 18 verschiedene Softwareprojekte analysiert. Das Ziel: Die Entwicklung einer Bibliothek sollte vom BSI unterstützt werden, um generell eine freie Kryptobibliothek bereitzustellen, die bestimmte, vom BSI definierte Anforderungen und Algorithmen unterstützt. Durchgeführt wurde das Projekt von den Firmen Rohde & Schwarz und Hackmanit.

Drei Softwareprojekte kamen in die engere Auswahl und wurden einer detaillierteren Analyse unterzogen: das von OpenBSD entwickelte LibreSSL, das von Mozilla entwickelte NSS und die Bibliothek Botan.

Die Entwicklung von Botan wurde anschließend finanziell vom BSI unterstützt, gefundene Mängel wurden behoben und die Testsuite verbessert. Die Ergebnisse dieser Entwicklung sind in Botan eingeflossen und wurden mit der Version 2.0.1 veröffentlicht. Dazu wurden inzwischen auch einige Dokumente in einem Github-Repository von Rohde & Schwarz publiziert. Was nicht veröffentlicht wurde: die ursprüngliche detaillierte Studie und insbesondere die darin enthaltenen Ergebnisse in Bezug auf die anderen Kryptobibliotheken.

BSI gibt Dokument heraus, verbietet aber eine Veröffentlichung

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    21.06.2022, Virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
Weitere IT-Trainings

Dokumente von Behörden müssen in Deutschland im Normalfall auf Anfrage zugänglich gemacht werden. Das ist im Informationsfreiheitsgesetz geregelt. Daher hat Golem.de das BSI um die Herausgabe des Dokuments gebeten. Das Bundesamt hat die Anfrage auch beantwortet und uns die Studie - zunächst auf Papier, später auf unseren expliziten Wunsch hin auch elektronisch - zur Verfügung gestellt.

Allerdings wies uns das BSI darauf hin, dass wir das Dokument auf keinen Fall veröffentlichen dürfen: "Ich möchte Sie darauf hinweisen, dass das Werk einschließlich aller seiner Teile urheberrechtlich geschützt ist", heißt es dazu in einer E-Mail des BSI. "Jede Verwertung außerhalb der engen Grenzen des Urhebergesetzes ist ohne Zustimmung des BSI unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigung, Übersetzung, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen."

Das BSI bestätigt auf Anfrage von Golem.de, dass das Dokument nicht zur Veröffentlichung vorgesehen ist, die Begründung bleibt aber sehr vage: "Bei dem Ihnen vorliegenden Dokument handelt es sich um oben skizzierten Vergleich und nicht um eine eigenständige Studie oder gar ein 'Gutachten zu Kryptobibliotheken'. Die Ergebnisse sind in das Umsetzungskonzept für die Weiterentwicklung geflossen und sind daher nicht zur Veröffentlichung bestimmt."

Entwickler von LibreSSL und NSS nicht informiert

Wir haben bei den Entwicklern der zwei Bibliotheken LibreSSL und Mozillas NSS, die zwar untersucht, aber letztendlich nicht für das Projekt ausgewählt wurden, nachgefragt: Die Entwickler von LibreSSL wussten von dem Projekt nichts, die Anfrage an Mozilla blieb unbeantwortet.

Das BSI bestätigte uns, dass es die Ergebnisse nicht an die Entwickler der anderen Bibliotheken weitergegeben hat: "Der Bibliotheksvergleich enthält zudem keine Empfehlungen zur Verbesserung der Sicherheit der Kryptobibliotheken, sondern für das Entwicklungsprojekt relevante Umsetzungsvorschläge und Aufwandsabschätzungen, die zur internen Planung der Weiterentwicklung der Grundbibliothek notwendig waren."

Wir haben das Dokument gelesen. Informationen über spektakuläre Sicherheitslücken finden sich darin nicht. Trotzdem könnte es für die Entwickler der jeweiligen Bibliotheken hilfreich sein, denn an vielen Stellen stehen sehr konkrete Vorschläge, wie der Code verbessert werden könnte, samt einer Abschätzung, wie viel Aufwand das wäre. So gibt es etwa Hinweise auf Compilerwarnungen und eine Einschätzung, wie schwerwiegend diese sind, außerdem eine Auflistung von Fehlern in den State Machines der TLS-Handshake-Implementierung und Hinweise, an welchen Stellen der Code besser gegen Timing-Angriffe geschützt werden sollte.

Im Fall von Botan wurden diese Empfehlungen umgesetzt, doch auch bei den anderen untersuchten Bibliotheken wäre es sicher sinnvoll, die Ergebnisse zumindest den Entwicklern zugänglich zu machen.

Urheberrecht, um Informationsfreiheit auszuhebeln

Dass eine Behörde versucht, mit Hilfe des Urheberrechts eine Weitergabe von Dokumenten zu verhindern, ist nichts Neues. 2014 hatte das Bundesinnenministerium ein Gutachten über das Europawahlrecht erstellt. Guido Strack vom Verein Whistleblower Netzwerk erhielt das Gutachten mit Hilfe des Informationsfreiheitsgesetzes. Es war jedoch ähnlich wie in unserem Fall mit dem Hinweis versehen, dass das Urheberrecht ihm eine Veröffentlichung verbiete.

Die Open Knowledge Foundation, die das Portal Fragdenstaat.de betreibt, veröffentlichte daraufhin das Gutachten. Das Innenministerium ging dagegen rechtlich vor, unterlag aber letztendlich vor Gericht. Allerdings ist der Fall nicht direkt vergleichbar: Das Gericht entschied, dass das Gutachten keine Schöpfungshöhe hatte, da es in großen Teilen aus Gesetzeszitaten bestand, für die ohnehin kein Urheberrechtsschutz besteht.

Doch auch wenn das BSI den Vergleich von Kryptobibliotheken nicht veröffentlicht haben will: Jeder, der ihn lesen möchte, kann selbst eine Anfrage nach dem Informationsfreiheitsgesetz stellen, beispielsweise über das Portal Fragdenstaat.de oder auch formlos durch ein Schreiben an das BSI. Begründen muss man eine derartige Anfrage nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


honk 23. Mai 2018

Doch auf Nachfrage. Und die Studie selbst dürfte auch nur für die Entwickler der anderen...

peschu 03. Mai 2018

Nunja, das ist eine Vermutung deinerseits, aber was genau vertraglich vereinbart wurde...

Tiberius Kirk 20. Apr 2018

Danke, jetzt habe ich es. 177 Seiten, viele Leerseiten, ellenlange Listen... Naja, werde...

Lasse Bierstrom 31. Mär 2018

------------------------------------------------------------------------------- JEDER...



Aktuell auf der Startseite von Golem.de
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Artikel
  1. Heimkino und Hi-Fi: Onkyo meldet Konkurs an
    Heimkino und Hi-Fi
    Onkyo meldet Konkurs an

    Onkyo hat beim Bezirksgericht Osaka Konkurs angemeldet. Ob das überschuldete Unternehmen gerettet werden kann, ist ungewiss.

  2. Framedeck: Bastler verwandelt Framework Laptop in Retro-Terminal-PC
    Framedeck
    Bastler verwandelt Framework Laptop in Retro-Terminal-PC

    Mainboard und der Akku des Framework Laptop bilden die Grundlage des Framedeck, das seinerseits von einem PC der 80er inspiriert wurde.

  3. Bundesländer: Umweltminister einig über Autobahn-Tempolimit
    Bundesländer
    Umweltminister einig über Autobahn-Tempolimit

    Die Landesumweltminister der Bundesländer haben sich einstimmig für ein Tempolimit auf Autobahnen ausgesprochen. Was fehlt, ist dessen Höhe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 46% Rabatt auf Mäuse & Tastaturen • Grafikkarten günstig wie nie (u. a. RTX 3080 Ti 12GB 1.285€) • Samsung SSD 1TB (PS5-komp.) günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsangebote bei MediaMarkt • Bosch Prof. bis zu 53% günstiger [Werbung]
    •  /