Abo
  • Services:
Anzeige
Das Unternehmen RSA Security demetiert, von der NSA Geld für eine Hintertür bekommen zu haben.
Das Unternehmen RSA Security demetiert, von der NSA Geld für eine Hintertür bekommen zu haben. (Bild: RSA Security)

Verschlüsselung: RSA dementiert "geheimen Vertrag" mit der NSA

Das Sicherheitsunternehmen RSA Security hat dementiert, in einem geheimen Vertrag mit der NSA dafür zu sorgen, dass Verschlüsselung mit Hintertüren in ihren Produkten eingesetzt wird.

Anzeige

Das Unternehmen RSA Security weist Anschuldigungen zurück, wonach es einen "geheimen Vertrag" mit der NSA abgeschlossen habe, um Verschlüsselung mit einer Hintertür in seine Software einzusetzen. Das Unternehmen habe sich auch nie an Projekten beteiligt, um bewusst Verschlüsselung und damit seine eigenen Produkte zu schwächen.

Laut einem Bericht von Reuters soll RSA Security 10 Millionen US-Dollar dafür bekommen haben, den umstrittenen Zufallsgenerator Dual_EC_DRBG in seiner Software BSafe als Standard einzusetzen. Das gehe aus Unterlagen hervor, die Edward Snowden bei der NSA gefunden habe. Bislang sind die Dokumente noch nicht veröffentlicht worden.

Längst Zweifel an Dual_EC_DRBG

Bereits kurz nach der Veröffentlichung von Dual_EC_DRBG hatten Experten Schwächen in dem Zufallsgenerator entdeckt, der Zufallszahlen mit Hilfe elliptischer Kurven errechnet, berichtet der Kryptograph Matthew Green in seinem Blog. Das Unternehmen habe Dual_EC_DRBG 2004 als Standard in seinem BSafe-Toolkit aufgenommen. Damals habe es industrieweite Anstrengungen gegeben, stärkere Verschlüsselung zu entwickeln, schreibt RSA Security in seinem Blog. Die NSA sei zu dem Zeitpunkt ein vertrauenswürdiger Partner innerhalb der Sicherheitsgemeinschaft gewesen, der mit dazu beigetragen habe, Verschlüsselung zu stärken und nicht zu schwächen.

Weit verbreitet

Dual_EC_DRBG sei im Übrigen nur einer von vielen Standards in BSafe. Es sei den Kunden überlassen, welchen davon sie nutzten, schreibt RSA Security. Dessen Software kommt weltweit in Millionen von Produkten zum Einsatz, beispielsweise bei der Verschlüsselung von USB-Sticks. Außerdem setzen auch Behörden die Software ein, etwa um kritische Infrastrukturen zu schützen.

2007 hatten die Microsoft-Mitarbeiter Dan Shumow und Niels Ferguson darüber spekuliert, dass Dual_EC_DRBG eine Hintertür der NSA enthielt. RSA Security habe dennoch an dem Zufallsgenerator festgehalten, weil die US-Behörde Nist (National Institute of Standards and Technology) Dual_EC_DRBG weiterhin als vertrauenswürdig einstufte.

Reaktion auf Nist-Empfehlung

Erst nachdem das Nist im Zuge von weiteren Veröffentlichungen von Dokumenten aus dem Snowden-Fundus Dual-EC-DRBG im September 2013 als nicht mehr vertrauenswürdig eingestuft hat, empfahl auch RSA Security, den Zufallsgenerator nicht mehr zu verwenden. RSA Security habe dies ebenfalls offen diskutiert.

Die Höhe der von Reuters genannten Summe von 10 Millionen US-Dollar sorgt indes für weitere Spekulationen. Der Vertrag zwischen der NSA und RSA Security soll 2006 zustande gekommen sein, zu dem Zeitpunkt, als das Sicherheitsunternehmen vom jetzigen Besitzer EMC für 2,1 Milliarden US-Dollar übernommen wurde. Im Vergleich lesen sich die Zahlungen der NSA an RSA Securtity als sehr niedrig. Allerdings habe die Abteilung, die BSafe entwickelte, im Jahr zuvor lediglich einen Umsatz von 27,5 Millionen US-Dollar gehabt, so Reuters. Damit habe die von der NSA gezahlte Summe ein Drittel des Umsatzes ausgemacht. RSA Security will keine Details zu Verträgen mit seinen Kunden veröffentlichen, schreibt das Sicherheitsunternehmen in seinem Dementi.

Fähigkeiten der NSA infrage gestellt

Indes äußern Kryptoexperten Zweifel an den Fähigkeiten der NSA-Entwickler. In einem Antrag plädiert Trevor Perrin dafür, den NSA-Mitarbeiter Kevin Igoe als Beisitzer aus dem Crypto Forum Research Group (CFRG) zu entfernen. Die CFRG berät unter anderem die Internet Engineering Task Force (IETF) beim Einsatz von Verschlüsselung als Internetstandard.

Igoe habe sich auffällig für den Einsatz für Dragonfly eingesetzt, ein Schlüsselaustauschprotokoll (Password-Authenticated Key Exchange, PAKE), das nach heftiger Kritik nicht mehr von der TLS-Arbeitsgruppe des Internet Engineering Task Force (IETF) weiterentwickelt wurde. Dragonfly verwendet ebenfalls elliptische Kurven. Unklar sei, warum sich ein solch erfahrener Kryptographieexperte wie Igoe für das fehlerbehaftete Dragonfly-Protokoll eingesetzt habe. Das IETF benötige aber Experten, die vertrauenswürdig seien, schreibt Perrin.


eye home zur Startseite
Anonymer Nutzer 23. Dez 2013

... von Snowden haben bisher immer die Wahrheit gesagt. Ich glaube RSA inkl. der...

Ketchupflasche 23. Dez 2013

Widersprüchliche Angaben aus den USA. Snowden würde angeblich nicht gefoltert werden...

pylaner 23. Dez 2013

Egal wer jetzt dazu was von sich gibt, Vertrauen ist was anderes und wurde mit der...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Leopold Kostal GmbH & Co. KG, Hagen
  3. mobileX AG, München
  4. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)


Anzeige
Spiele-Angebote
  1. (-20%) 31,99€
  2. 1,49€
  3. 4,99€

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch erlaubt unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Es ist übrigens das erste Far Cry, das in den...

    b1n0ry | 14:15

  2. Habe nach meinen Umzug knapp ein halbes Jahr gewartet

    aLpenbog | 14:10

  3. Re: Warum sind die Flügel nicht einklappbar?

    martin28 | 14:05

  4. Re: AI-Prozessor =

    Iomega | 14:03

  5. Re: Siri und diktieren

    Iomega | 14:01


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel