Homepage Cyberwar Cybersecurity Cyberspace C-Spionage C-Sabotage Gefährdung Kriminalität Computer Kommunikation mod. Systeme Der Mensch Beratung Bildung Fachberichte Information Kryptologie Emission Verschlüsselung Forschung Begriffe Recht Technik Verschiedenes
Verschiedenes Informationen aus aller Welt Aus der Welt der Pocketsysteme
 
 
Quelle : der Standard,, Wien, Austria
NSA: "Unterstützung von schwachen Zufallszahlen war ein Fehler"

Andreas Proschofsky
15. Jänner 2015, 12:14

Behörde hätte Support für Dual_EC_DRBG nach Kritik zurückziehen müssen
Es kommt eher selten vor, dass Geheimdienste wie die NSA Fehler eingestehen. Um so überraschender kommt nun ein Statement des Forschungsleiters der US-Behörde. Dass man den DUAL_EC_DRBG-Standard zur Erstellung von Zufallszahlen weiter forciert habe, obwohl Sicherheitsexperten schnell auf grundlegenden Probleme hingewiesen hätten, sei eine "bedauernswerte Entscheidung" gewesen, so Michael Wertheimer laut Threatpost.
Kritik
Bereits im Jahr 2007 hatten Microsoft-Forscher darauf hingewiesen, dass die Schwächen in der Zufallszahlenerkennung als eine Art zentrales Backdoor für Verschlüsselungssoftware zu betrachten seien. Sowohl die NSA als auch das National Institute of Standards and Technology (NIST) beharrten aber weiter auf die Standardisierung von DUAL_EC_DRBG.
Fragwürdige Perspektive
Freilich ist die Perspektive von Wertheimer eine, die zumindest fragwürdig ist. Lässt sich doch aus den Snowden-Dokumenten schließen, dass es sich bei der Forcierung der fehlerhaften Methode zur Erstellung von Zufallszahlen keineswegs um ein Versehen sondern um eine gezielte Maßnahme der NSA gehandelt habe. Ein Vorgang der übrigens bis heute das Vertrauensverhältnis zwischen dem NIST und der Sicherheits-Community nachhaltig beschädigt hat.
Support
Wirklich erfolgreich war die NSA mit ihrem Vorstoß aber ohnehin nicht. Aufgrund der Sicherheitsbedenken wurde DUAL_EC_DRBG von kaum einem Softwarehersteller übernommen. Mit einer Ausnahme: RSA Security hatte den Algorithmus übernommen - offenbar nach erheblichem Geldfluss durch die NSA. (apo, derStandard.at, 15.1.2015)

Nachlese
NSA hat Verschlüsselungsstandard gezielt unterwandert
NSA zahlte zehn Millionen Dollar für Software-Backdoor
http://derstandard.at/2000010441844/NSA-Unterstuetzung-von-schwachen-Zufallszahlen-war-ein-Fehler