Abo
  • Services:

Verschlüsselung: RSA dementiert "geheimen Vertrag" mit der NSA

Das Sicherheitsunternehmen RSA Security hat dementiert, in einem geheimen Vertrag mit der NSA dafür zu sorgen, dass Verschlüsselung mit Hintertüren in ihren Produkten eingesetzt wird.

Artikel veröffentlicht am ,
Das Unternehmen RSA Security demetiert, von der NSA Geld für eine Hintertür bekommen zu haben.
Das Unternehmen RSA Security demetiert, von der NSA Geld für eine Hintertür bekommen zu haben. (Bild: RSA Security)

Das Unternehmen RSA Security weist Anschuldigungen zurück, wonach es einen "geheimen Vertrag" mit der NSA abgeschlossen habe, um Verschlüsselung mit einer Hintertür in seine Software einzusetzen. Das Unternehmen habe sich auch nie an Projekten beteiligt, um bewusst Verschlüsselung und damit seine eigenen Produkte zu schwächen.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. Controlware GmbH, München, Ingolstadt

Laut einem Bericht von Reuters soll RSA Security 10 Millionen US-Dollar dafür bekommen haben, den umstrittenen Zufallsgenerator Dual_EC_DRBG in seiner Software BSafe als Standard einzusetzen. Das gehe aus Unterlagen hervor, die Edward Snowden bei der NSA gefunden habe. Bislang sind die Dokumente noch nicht veröffentlicht worden.

Längst Zweifel an Dual_EC_DRBG

Bereits kurz nach der Veröffentlichung von Dual_EC_DRBG hatten Experten Schwächen in dem Zufallsgenerator entdeckt, der Zufallszahlen mit Hilfe elliptischer Kurven errechnet, berichtet der Kryptograph Matthew Green in seinem Blog. Das Unternehmen habe Dual_EC_DRBG 2004 als Standard in seinem BSafe-Toolkit aufgenommen. Damals habe es industrieweite Anstrengungen gegeben, stärkere Verschlüsselung zu entwickeln, schreibt RSA Security in seinem Blog. Die NSA sei zu dem Zeitpunkt ein vertrauenswürdiger Partner innerhalb der Sicherheitsgemeinschaft gewesen, der mit dazu beigetragen habe, Verschlüsselung zu stärken und nicht zu schwächen.

Weit verbreitet

Dual_EC_DRBG sei im Übrigen nur einer von vielen Standards in BSafe. Es sei den Kunden überlassen, welchen davon sie nutzten, schreibt RSA Security. Dessen Software kommt weltweit in Millionen von Produkten zum Einsatz, beispielsweise bei der Verschlüsselung von USB-Sticks. Außerdem setzen auch Behörden die Software ein, etwa um kritische Infrastrukturen zu schützen.

2007 hatten die Microsoft-Mitarbeiter Dan Shumow und Niels Ferguson darüber spekuliert, dass Dual_EC_DRBG eine Hintertür der NSA enthielt. RSA Security habe dennoch an dem Zufallsgenerator festgehalten, weil die US-Behörde Nist (National Institute of Standards and Technology) Dual_EC_DRBG weiterhin als vertrauenswürdig einstufte.

Reaktion auf Nist-Empfehlung

Erst nachdem das Nist im Zuge von weiteren Veröffentlichungen von Dokumenten aus dem Snowden-Fundus Dual-EC-DRBG im September 2013 als nicht mehr vertrauenswürdig eingestuft hat, empfahl auch RSA Security, den Zufallsgenerator nicht mehr zu verwenden. RSA Security habe dies ebenfalls offen diskutiert.

Die Höhe der von Reuters genannten Summe von 10 Millionen US-Dollar sorgt indes für weitere Spekulationen. Der Vertrag zwischen der NSA und RSA Security soll 2006 zustande gekommen sein, zu dem Zeitpunkt, als das Sicherheitsunternehmen vom jetzigen Besitzer EMC für 2,1 Milliarden US-Dollar übernommen wurde. Im Vergleich lesen sich die Zahlungen der NSA an RSA Securtity als sehr niedrig. Allerdings habe die Abteilung, die BSafe entwickelte, im Jahr zuvor lediglich einen Umsatz von 27,5 Millionen US-Dollar gehabt, so Reuters. Damit habe die von der NSA gezahlte Summe ein Drittel des Umsatzes ausgemacht. RSA Security will keine Details zu Verträgen mit seinen Kunden veröffentlichen, schreibt das Sicherheitsunternehmen in seinem Dementi.

Fähigkeiten der NSA infrage gestellt

Indes äußern Kryptoexperten Zweifel an den Fähigkeiten der NSA-Entwickler. In einem Antrag plädiert Trevor Perrin dafür, den NSA-Mitarbeiter Kevin Igoe als Beisitzer aus dem Crypto Forum Research Group (CFRG) zu entfernen. Die CFRG berät unter anderem die Internet Engineering Task Force (IETF) beim Einsatz von Verschlüsselung als Internetstandard.

Igoe habe sich auffällig für den Einsatz für Dragonfly eingesetzt, ein Schlüsselaustauschprotokoll (Password-Authenticated Key Exchange, PAKE), das nach heftiger Kritik nicht mehr von der TLS-Arbeitsgruppe des Internet Engineering Task Force (IETF) weiterentwickelt wurde. Dragonfly verwendet ebenfalls elliptische Kurven. Unklar sei, warum sich ein solch erfahrener Kryptographieexperte wie Igoe für das fehlerbehaftete Dragonfly-Protokoll eingesetzt habe. Das IETF benötige aber Experten, die vertrauenswürdig seien, schreibt Perrin.



Anzeige
Blu-ray-Angebote
  1. 34,99€

Anonymer Nutzer 23. Dez 2013

... von Snowden haben bisher immer die Wahrheit gesagt. Ich glaube RSA inkl. der...

Ketchupflasche 23. Dez 2013

Widersprüchliche Angaben aus den USA. Snowden würde angeblich nicht gefoltert werden...

pylaner 23. Dez 2013

Egal wer jetzt dazu was von sich gibt, Vertrauen ist was anderes und wurde mit der...


Folgen Sie uns
       


Logitechs MX Vertical und Ankers vertikale Maus im Vergleichstest

Die MX Vertical ist Logitechs erste vertikale Maus. Sie hat sechs Tasten und kann wahlweise über Blueooth, eine Logitech-eigene Drahtlostechnik oder Kabel verwendet werden. Die spezielle Bauform soll Schmerzen in der Hand, dem Handgelenk und den Armen verhindern. Wem es vor allem darum geht, eine vertikale Sechstastenmaus nutzen zu können, kann sich das deutlich günstigere Modell von Anker anschauen, das eine vergleichbare Bauform hat. Logitech verlangt für die MX Vertical 110 Euro, das Anker-Modell gibt es für um die 20 Euro.

Logitechs MX Vertical und Ankers vertikale Maus im Vergleichstest Video aufrufen
Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


      •  /