Gerücht: Backdoor im neuen US-Standard für Verschlüsselung

Bruce Schneier weist darauf hin, dass sich im neuen Zufallsgenerator-Standard der USA eine geheime Hintertür für die NSA befinden könnte. Zufallsnummern sind wichtig für Kryptographie. Wer den Zufallsgenerator knackt, hat meistens auch Zugriff auf das ganze Sicherheits-System, schreibt er. Der neue Standard-Algorithmus, um Zufallsnummer zu erzeugen, sei langsam, schlecht designed und enthält womöglich eine Backdoor für die National Security Agency.

Die US-Regierung hat dieses Jahr einen neuen Standard vorgestellt. Software- und Hardware-Entwickler werden diesen laut Schneier wahrscheinlich benutzen. Die Sache nennt sich NIST Special Publication 800-90 (PDF, 130 Seiten). Darin sind vier Tecniken enthalten, die sich DRBGs (Deterministic Random Bit Generators) nennen. Alle vier sind auf existierenden Techniken aufgebaut. Einer auf Hash-Funktionen, einer auf HMAC, einer auf Block Ciphers und einer auf elliptischen Kurven.

Letzterer sei laut Schneier nicht wie die anderen. Er nennt sich Dual_EC_DRBG und sei der Favorit der NSA. Anfang 2006 wurden erste Probleme mit diesem Algorithmus bekannt, für die es einen Workaround gab. Allerdings mögen Kryptographie-Experten nicht das kleinste Problem im Thema Sicherheit. In einer Präsentation auf der CRYPTO 2007 wiesen Dan Shumow und Niels Ferguson auf eine Schwachstelle hin, die man nur als Backdoor beschreiben könne. Es gäbe eine gewisse Anzahl von Konstanten in dem Standard. Diese würden benutzt um elliptische Kurven zu definieren und sind im Anhang A aufgelistet. Allerdings sei nirgendwo erklärt, woher diese Zahlen stammen.

Shumhow und Ferguson zeigten, dass diese Zahlen eine Verwandtschaft mit einem zweiten, geheimen Satz zahlen haben. Diese könne man als eine Art Skelett-Schlüssel verwenden. Wenn man den zweiten Satz kenne, könnte man die Ausgabe der Zufallszahlen schätzen. Dazu müsse man lediglich 32 Byte sammeln. Somit müsse man nur die TLS-Internet-Verbindung überwachen und man könne das Protokoll knacken. Die Experten kennen den zweiten Satz der Nummern nicht. Aber wer auch immer den ersten Satz Konstanten produziert hätte, könnte den zweiten mitgeneriert haben. Man könne natürlich nicht beweisen, dass die NSA eine Backdoor oder jemand anders einen zweiten Satz Konstanten habe. Allerdings sei es beängstigend zu wissen, dass es sein könnte. Selbst wenn keiner einen zweiten Satz habe, sei Dual_EC_DRBG extrem anfällig. (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.