Dual_EC_DRBG zerbrechlich

Gerücht: Backdoor im neuen US-Standard für Verschlüsselung

Letzterer sei laut Schneier nicht wie die anderen. Er nennt sich Dual_EC_DRBG und sei der Favorit der NSA. Anfang 2006 wurden erste Probleme mit diesem Algorithmus bekannt, für die es einen Workaround gab. Allerdings mögen Kryptographie-Experten nicht das kleinste Problem im Thema Sicherheit. In einer Präsentation auf der CRYPTO 2007 wiesen Dan Shumow und Niels Ferguson auf eine Schwachstelle hin, die man nur als Backdoor beschreiben könne. Es gäbe eine gewisse Anzahl von Konstanten in dem Standard. Diese würden benutzt um elliptische Kurven zu definieren und sind im Anhang A aufgelistet. Allerdings sei nirgendwo erklärt, woher diese Zahlen stammen.

Shumhow und Ferguson zeigten, dass diese Zahlen eine Verwandtschaft mit einem zweiten, geheimen Satz zahlen haben. Diese könne man als eine Art Skelett-Schlüssel verwenden. Wenn man den zweiten Satz kenne, könnte man die Ausgabe der Zufallszahlen schätzen. Dazu müsse man lediglich 32 Byte sammeln. Somit müsse man nur die TLS-Internet-Verbindung überwachen und man könne das Protokoll knacken. Die Experten kennen den zweiten Satz der Nummern nicht. Aber wer auch immer den ersten Satz Konstanten produziert hätte, könnte den zweiten mitgeneriert haben. Man könne natürlich nicht beweisen, dass die NSA eine Backdoor oder jemand anders einen zweiten Satz Konstanten habe. Allerdings sei es beängstigend zu wissen, dass es sein könnte. Selbst wenn keiner einen zweiten Satz habe, sei Dual_EC_DRBG extrem anfällig. (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner