Abo
  • Services:

Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.

Artikel von Hanno Böck veröffentlicht am
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI.
Diese Studie dürfen wir nicht mikroverfilmen - und auch sonst nicht weitergeben, sagt das BSI. (Bild: Hanno Böck)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2017 im Rahmen eines Projekts verschiedene Kryptobibliotheken untersuchen lassen. Oberflächliche Informationen über das Projekt sind auf der BSI-Webseite nachzulesen. Doch eine umfangreiche Studie von Kryptobibliotheken, die im Rahmen des Projekts erstellt wurde, ist nicht öffentlich zugänglich. Das BSI verhindert die Veröffentlichung mit Hilfe des Urheberrechts.

Stellenmarkt
  1. Bremer Rechenzentrum GmbH, Bremen
  2. Scheidt & Bachmann GmbH, Mönchengladbach bei Düsseldorf

Das Projekt mit dem Titel Sichere Implementierung einer allgemeinen Kryptobibliothek hat zunächst 18 verschiedene Softwareprojekte analysiert. Das Ziel: Die Entwicklung einer Bibliothek sollte vom BSI unterstützt werden, um generell eine freie Kryptobibliothek bereitzustellen, die bestimmte, vom BSI definierte Anforderungen und Algorithmen unterstützt. Durchgeführt wurde das Projekt von den Firmen Rohde & Schwarz und Hackmanit.

Drei Softwareprojekte kamen in die engere Auswahl und wurden einer detaillierteren Analyse unterzogen: das von OpenBSD entwickelte LibreSSL, das von Mozilla entwickelte NSS und die Bibliothek Botan.

Die Entwicklung von Botan wurde anschließend finanziell vom BSI unterstützt, gefundene Mängel wurden behoben und die Testsuite verbessert. Die Ergebnisse dieser Entwicklung sind in Botan eingeflossen und wurden mit der Version 2.0.1 veröffentlicht. Dazu wurden inzwischen auch einige Dokumente in einem Github-Repository von Rohde & Schwarz publiziert. Was nicht veröffentlicht wurde: die ursprüngliche detaillierte Studie und insbesondere die darin enthaltenen Ergebnisse in Bezug auf die anderen Kryptobibliotheken.

BSI gibt Dokument heraus, verbietet aber eine Veröffentlichung

Dokumente von Behörden müssen in Deutschland im Normalfall auf Anfrage zugänglich gemacht werden. Das ist im Informationsfreiheitsgesetz geregelt. Daher hat Golem.de das BSI um die Herausgabe des Dokuments gebeten. Das Bundesamt hat die Anfrage auch beantwortet und uns die Studie - zunächst auf Papier, später auf unseren expliziten Wunsch hin auch elektronisch - zur Verfügung gestellt.

Allerdings wies uns das BSI darauf hin, dass wir das Dokument auf keinen Fall veröffentlichen dürfen: "Ich möchte Sie darauf hinweisen, dass das Werk einschließlich aller seiner Teile urheberrechtlich geschützt ist", heißt es dazu in einer E-Mail des BSI. "Jede Verwertung außerhalb der engen Grenzen des Urhebergesetzes ist ohne Zustimmung des BSI unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigung, Übersetzung, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen."

Das BSI bestätigt auf Anfrage von Golem.de, dass das Dokument nicht zur Veröffentlichung vorgesehen ist, die Begründung bleibt aber sehr vage: "Bei dem Ihnen vorliegenden Dokument handelt es sich um oben skizzierten Vergleich und nicht um eine eigenständige Studie oder gar ein 'Gutachten zu Kryptobibliotheken'. Die Ergebnisse sind in das Umsetzungskonzept für die Weiterentwicklung geflossen und sind daher nicht zur Veröffentlichung bestimmt."

Entwickler von LibreSSL und NSS nicht informiert

Wir haben bei den Entwicklern der zwei Bibliotheken LibreSSL und Mozillas NSS, die zwar untersucht, aber letztendlich nicht für das Projekt ausgewählt wurden, nachgefragt: Die Entwickler von LibreSSL wussten von dem Projekt nichts, die Anfrage an Mozilla blieb unbeantwortet.

Das BSI bestätigte uns, dass es die Ergebnisse nicht an die Entwickler der anderen Bibliotheken weitergegeben hat: "Der Bibliotheksvergleich enthält zudem keine Empfehlungen zur Verbesserung der Sicherheit der Kryptobibliotheken, sondern für das Entwicklungsprojekt relevante Umsetzungsvorschläge und Aufwandsabschätzungen, die zur internen Planung der Weiterentwicklung der Grundbibliothek notwendig waren."

Wir haben das Dokument gelesen. Informationen über spektakuläre Sicherheitslücken finden sich darin nicht. Trotzdem könnte es für die Entwickler der jeweiligen Bibliotheken hilfreich sein, denn an vielen Stellen stehen sehr konkrete Vorschläge, wie der Code verbessert werden könnte, samt einer Abschätzung, wie viel Aufwand das wäre. So gibt es etwa Hinweise auf Compilerwarnungen und eine Einschätzung, wie schwerwiegend diese sind, außerdem eine Auflistung von Fehlern in den State Machines der TLS-Handshake-Implementierung und Hinweise, an welchen Stellen der Code besser gegen Timing-Angriffe geschützt werden sollte.

Im Fall von Botan wurden diese Empfehlungen umgesetzt, doch auch bei den anderen untersuchten Bibliotheken wäre es sicher sinnvoll, die Ergebnisse zumindest den Entwicklern zugänglich zu machen.

Urheberrecht, um Informationsfreiheit auszuhebeln

Dass eine Behörde versucht, mit Hilfe des Urheberrechts eine Weitergabe von Dokumenten zu verhindern, ist nichts Neues. 2014 hatte das Bundesinnenministerium ein Gutachten über das Europawahlrecht erstellt. Guido Strack vom Verein Whistleblower Netzwerk erhielt das Gutachten mit Hilfe des Informationsfreiheitsgesetzes. Es war jedoch ähnlich wie in unserem Fall mit dem Hinweis versehen, dass das Urheberrecht ihm eine Veröffentlichung verbiete.

Die Open Knowledge Foundation, die das Portal Fragdenstaat.de betreibt, veröffentlichte daraufhin das Gutachten. Das Innenministerium ging dagegen rechtlich vor, unterlag aber letztendlich vor Gericht. Allerdings ist der Fall nicht direkt vergleichbar: Das Gericht entschied, dass das Gutachten keine Schöpfungshöhe hatte, da es in großen Teilen aus Gesetzeszitaten bestand, für die ohnehin kein Urheberrechtsschutz besteht.

Doch auch wenn das BSI den Vergleich von Kryptobibliotheken nicht veröffentlicht haben will: Jeder, der ihn lesen möchte, kann selbst eine Anfrage nach dem Informationsfreiheitsgesetz stellen, beispielsweise über das Portal Fragdenstaat.de oder auch formlos durch ein Schreiben an das BSI. Begründen muss man eine derartige Anfrage nicht.



Anzeige
Blu-ray-Angebote
  1. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...
  2. (u. a. 3 Blu-rays für 20€, Boxsets im Angebot, Serien zum Sonderpreis)

Tiberius Kirk 20. Apr 2018 / Themenstart

Danke, jetzt habe ich es. 177 Seiten, viele Leerseiten, ellenlange Listen... Naja, werde...

ww 01. Apr 2018 / Themenstart

Wäre die Studie nicht vom BSI in Auftrag gegeben und von R&S ausgearbeitet worden...

Lasse Bierstrom 31. Mär 2018 / Themenstart

------------------------------------------------------------------------------- JEDER...

eigs 30. Mär 2018 / Themenstart

Ich weis zwar nicht, warum du gerade meine Meinung wissen willst anstatt dich umzusehen...

__destruct() 29. Mär 2018 / Themenstart

Das Urheberrecht hat aber nichts damit zu tun, dass man kein Falschgeld drucken darf. Es...

Kommentieren


Folgen Sie uns
       


Red Dead Redemption in 4K - Grafikvergleich

Wir haben Red Dead Redemption in 4K auf der Xbox One X angespielt und zeigen unseren Grafikvergleich mit der Originalfassung.

Red Dead Redemption in 4K - Grafikvergleich Video aufrufen
God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

    •  /