Abo
  • Services:
Anzeige
Das Unternehmen RSA Security demetiert, von der NSA Geld für eine Hintertür bekommen zu haben.
Das Unternehmen RSA Security demetiert, von der NSA Geld für eine Hintertür bekommen zu haben. (Bild: RSA Security)

Verschlüsselung: RSA dementiert "geheimen Vertrag" mit der NSA

Das Sicherheitsunternehmen RSA Security hat dementiert, in einem geheimen Vertrag mit der NSA dafür zu sorgen, dass Verschlüsselung mit Hintertüren in ihren Produkten eingesetzt wird.

Anzeige

Das Unternehmen RSA Security weist Anschuldigungen zurück, wonach es einen "geheimen Vertrag" mit der NSA abgeschlossen habe, um Verschlüsselung mit einer Hintertür in seine Software einzusetzen. Das Unternehmen habe sich auch nie an Projekten beteiligt, um bewusst Verschlüsselung und damit seine eigenen Produkte zu schwächen.

Laut einem Bericht von Reuters soll RSA Security 10 Millionen US-Dollar dafür bekommen haben, den umstrittenen Zufallsgenerator Dual_EC_DRBG in seiner Software BSafe als Standard einzusetzen. Das gehe aus Unterlagen hervor, die Edward Snowden bei der NSA gefunden habe. Bislang sind die Dokumente noch nicht veröffentlicht worden.

Längst Zweifel an Dual_EC_DRBG

Bereits kurz nach der Veröffentlichung von Dual_EC_DRBG hatten Experten Schwächen in dem Zufallsgenerator entdeckt, der Zufallszahlen mit Hilfe elliptischer Kurven errechnet, berichtet der Kryptograph Matthew Green in seinem Blog. Das Unternehmen habe Dual_EC_DRBG 2004 als Standard in seinem BSafe-Toolkit aufgenommen. Damals habe es industrieweite Anstrengungen gegeben, stärkere Verschlüsselung zu entwickeln, schreibt RSA Security in seinem Blog. Die NSA sei zu dem Zeitpunkt ein vertrauenswürdiger Partner innerhalb der Sicherheitsgemeinschaft gewesen, der mit dazu beigetragen habe, Verschlüsselung zu stärken und nicht zu schwächen.

Weit verbreitet

Dual_EC_DRBG sei im Übrigen nur einer von vielen Standards in BSafe. Es sei den Kunden überlassen, welchen davon sie nutzten, schreibt RSA Security. Dessen Software kommt weltweit in Millionen von Produkten zum Einsatz, beispielsweise bei der Verschlüsselung von USB-Sticks. Außerdem setzen auch Behörden die Software ein, etwa um kritische Infrastrukturen zu schützen.

2007 hatten die Microsoft-Mitarbeiter Dan Shumow und Niels Ferguson darüber spekuliert, dass Dual_EC_DRBG eine Hintertür der NSA enthielt. RSA Security habe dennoch an dem Zufallsgenerator festgehalten, weil die US-Behörde Nist (National Institute of Standards and Technology) Dual_EC_DRBG weiterhin als vertrauenswürdig einstufte.

Reaktion auf Nist-Empfehlung

Erst nachdem das Nist im Zuge von weiteren Veröffentlichungen von Dokumenten aus dem Snowden-Fundus Dual-EC-DRBG im September 2013 als nicht mehr vertrauenswürdig eingestuft hat, empfahl auch RSA Security, den Zufallsgenerator nicht mehr zu verwenden. RSA Security habe dies ebenfalls offen diskutiert.

Die Höhe der von Reuters genannten Summe von 10 Millionen US-Dollar sorgt indes für weitere Spekulationen. Der Vertrag zwischen der NSA und RSA Security soll 2006 zustande gekommen sein, zu dem Zeitpunkt, als das Sicherheitsunternehmen vom jetzigen Besitzer EMC für 2,1 Milliarden US-Dollar übernommen wurde. Im Vergleich lesen sich die Zahlungen der NSA an RSA Securtity als sehr niedrig. Allerdings habe die Abteilung, die BSafe entwickelte, im Jahr zuvor lediglich einen Umsatz von 27,5 Millionen US-Dollar gehabt, so Reuters. Damit habe die von der NSA gezahlte Summe ein Drittel des Umsatzes ausgemacht. RSA Security will keine Details zu Verträgen mit seinen Kunden veröffentlichen, schreibt das Sicherheitsunternehmen in seinem Dementi.

Fähigkeiten der NSA infrage gestellt

Indes äußern Kryptoexperten Zweifel an den Fähigkeiten der NSA-Entwickler. In einem Antrag plädiert Trevor Perrin dafür, den NSA-Mitarbeiter Kevin Igoe als Beisitzer aus dem Crypto Forum Research Group (CFRG) zu entfernen. Die CFRG berät unter anderem die Internet Engineering Task Force (IETF) beim Einsatz von Verschlüsselung als Internetstandard.

Igoe habe sich auffällig für den Einsatz für Dragonfly eingesetzt, ein Schlüsselaustauschprotokoll (Password-Authenticated Key Exchange, PAKE), das nach heftiger Kritik nicht mehr von der TLS-Arbeitsgruppe des Internet Engineering Task Force (IETF) weiterentwickelt wurde. Dragonfly verwendet ebenfalls elliptische Kurven. Unklar sei, warum sich ein solch erfahrener Kryptographieexperte wie Igoe für das fehlerbehaftete Dragonfly-Protokoll eingesetzt habe. Das IETF benötige aber Experten, die vertrauenswürdig seien, schreibt Perrin.


eye home zur Startseite
Anonymer Nutzer 23. Dez 2013

... von Snowden haben bisher immer die Wahrheit gesagt. Ich glaube RSA inkl. der...

Ketchupflasche 23. Dez 2013

Widersprüchliche Angaben aus den USA. Snowden würde angeblich nicht gefoltert werden...

pylaner 23. Dez 2013

Egal wer jetzt dazu was von sich gibt, Vertrauen ist was anderes und wurde mit der...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Statistisches Bundesamt, Wiesbaden
  3. Viega Holding GmbH & Co. KG, keine Angabe
  4. über Staff Gmbh, München (Home-Office möglich)


Anzeige
Blu-ray-Angebote
  1. 5,94€ FSK 18
  2. (u. a. 25 % Rabatt beim Kauf von drei Neuheiten, Box-Sets im Angebot)
  3. (u. a. The Hateful 8 7,97€, The Revenant 8,97€, Interstellar 7,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Also wir suchen Frontend/Backend-Devs...

    SSQ | 21:45

  2. Re: die sollen sich

    bombinho | 21:41

  3. Re: für Git wenig relevant

    My1 | 21:40

  4. Re: 2,5" SSD

    Neuro-Chef | 21:39

  5. Re: Der schlaue Gamer holt sich den RyZen 1600X...

    Jesper | 21:37


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel