NSA hackt Kryptografie : Sicherheitsfirma RSA warnt vor sich selbst

Die Software Bsafe des Entwicklers für Verschlüsselungssoftware nutzt ein Modul, das von der NSA mitentwickelt wurde. RSA warnt nun davor, es einzusetzen.
Früher von der NSA genutzte Abhörzentrale in Bad Aibling © REUTERS/Michael Dalder

Eigentlich lautet das Versprechen des Entwicklers von Verschlüsselungssoftware RSA, dass er seine Kunden beschützen wird. Umso verblüffter dürften diese Kunden davon gewesen sein, was ihnen die Sicherheitssparte des Unternehmens EMC Corporation nun mitgeteilt hat. Man rate dringend von der Verwendung eines Algorithmus ab, der als Standardeinstellung in dem RSA-Softwarebaukasten Bsafe läuft, hieß es in einer Mail an Entwickler. Mit anderen Worten: Die Firma warnt vor sich selbst, ihre Software ist nicht mehr sicher.

Die RSA-Software wird unter anderem für die Programmierung von Webbrowsern benutzt. Ein Baustein dabei sind sogenannte Zufallszahlen. Verschlüsselungsprogramme enthalten einen Generator, der möglichst zufällige Zahlen erzeugt, die gebraucht werden, um Schlüssel zu kreieren.

Doch genau in jene Verfahren, mit denen diese Zahlen auf den Rechnern der Kunden erzeugt werden, scheint RSA kein Vertrauen mehr zu haben. Damit ist das US-Unternehmen nicht allein.

Gezwungen zu diesem ungewöhnlichen Schritt sieht sich RSA durch die Enthüllungen von Edward Snowden. Aus Unterlagen, über die Anfang September die New York Times berichtete, geht hervor, dass die NSA auch Zugriff auf verschlüsselte Kommunikation hat. Demnach soll die NSA beispielsweise 2006 einen öffentlichen Verschlüsselungsstandard beeinflusst haben, um absichtlich ein schwaches Verfahren einzuschleusen.

Das zuständige amerikanische Nationale Standardisierungsinstitut National Institute of Standards and Technology (Nist) hat auf diese Enthüllung in der vergangenen Woche bereits reagiert. So hat das Nist angekündigt, die betroffene Norm einer erneuten Prüfung zu unterziehen. An der Diskussion darüber kann sich bis 6. November jeder beteiligen.

Dies sei der erste Schritt, um das zweifelhafte Verfahren endgültig aus dem Verkehr zu ziehen, sagt der Kryptologe Daniel J. Bernstein im Interview mit ZEIT ONLINE: "Das kann niemanden überraschen, jetzt wo alle wissen, dass die NSA hier eine Hintertür hat. Enttäuschend ist nur, dass die Behörde diesen Standard nicht schon vor Jahren zurückgezogen hat."

Unter Manipulationsverdacht steht ein Algorithmus namens Dual_EC_DRBG. Hinter dieser Bezeichnung verbirgt sich eben ein Zufallsgenerator. Dual_EC_DRBG ist eine von vier Rechenvorschriften dieser Art, die vom Nist 2006 als Standard festgelegt wurden. Entwickelt werden solche Standards in Zusammenarbeit mit der internationalen Gemeinde der Kryptologie-Experten. Für Dual_EC_DRBG zeichnete aber maßgeblich ein NSA-Mitarbeiter verantwortlich.

Der Standard wurde von Anfang an beargwöhnt

Von Sicherheitsforschern wurde der Algorithmus deshalb von Beginn an argwöhnisch betrachtet. "Der Standard wurde eh von niemandem benutzt", sagt Dirk Engling, einer der Sprecher des Chaos Computer Clubs. "Dem haftete von Anfang an eine Aura der Korruption an, weil er von der NSA kam, und weniger als ein Jahr nach Veröffentlichung wurden schon diese Hintertüren publiziert." Das Vorgehen des Nist diene nun nur dazu, den Standard zu streichen und "den vertrauenstechnischen Totalschaden etwas einzudämmen, der durch die NSA-Einmischung in die Standardfindung entstanden ist", sagt Engling.

Wie es überhaupt dazu kommen konnte, dass der Geheimdienst Einfluss auf das Verfahren nahm, ist Engling zufolge leicht zu erklären. Zum einen ist das Nist gesetzlich dazu verpflichtet, staatliche Behörden wie die NSA einzubinden. Zum anderen sei die Zahl begabter Mathematiker mit Schwerpunkt Kryptografie "auf diesem Planeten recht überschaubar". Die NSA erkläre selbst stolz, der größte Arbeitgeber für studierte Mathematiker in den USA zu sein. "Wenn so eine Institution also die Expertise zu monopolisieren versucht, ist es nicht leicht, unabhängige Experten die Standards begutachten zu lassen."

Das Kernproblem sei jedoch, sagt Engling, "dass in den USA, anders als in Deutschland, eine Behörde – die NSA – für die Absicherung von digitaler Kommunikation und gleichzeitig für den Angriff darauf zuständig ist". Durch diese Doppelfunktion entstehe ein fataler Interessenkonflikt. "Man nahm bisher an, dass die NSA in die Krypto-Verfahren des eigenen Landes schon keine absichtlichen Schwachstellen einbauen würde. Diese Annahme ist jedoch falsch. Alles mitlesen zu können ist der NSA offenbar wichtiger, als andere Geheimdienste – etwa die Russlands – am Mitlesen zu hindern."

Mit den Folgen hat nun nicht nur das Unternehmen RSA zu kämpfen.

Verlagsangebot

Hören Sie DIE ZEIT

Genießen Sie wöchentlich aktuelle ZEIT-Artikel mit ZEIT AUDIO

Hier reinhören

Kommentare

11 Kommentare Seite 1 von 2 Kommentieren

Überhaupt nichts Neues - die NSA konnte RSA schon immer knacken!

OMG - ihr kappiert auch gar nichts!

RSA ist nicht sicher, kein Bisschen und es ist längst bekannt.

Die vermeintliche Sicherheit des Verfahrens fußt auf der angeblichen Schwierigkeit aus einem Produkt aus zwei Primzahlen n = p x q, diese beiden Primzahlen zu ermitteln.

Dies sollte schwierig, praktisch unmöglich sein für Zahlen mit 100 Stellen und mehr. Ist es aber nicht!

Mit einem neuen, tatasächlich schon über dreisig Jahre alten, Ansatz lassen sich auch länge Zahlen knacken (siehe RSA-Challenge).

Das Verfahren, die Verfahren sind im Kern sogar längst veröffentlich (Quadratische Sieb) VERÖFFENTLICHT !!!

Ja, in den 1990-ern, wurde dies bekannt.

Aber wir Idioten, zum Beispiel beim Bundesamt für Sicherheit in der Informationstechnik (BSI), empfehlen RSA einfach weiter, mit ein bisschen längeren Schlüsseln, unfassbar!

Korrektur - es war schon 1926!

Die grundlegende Idee, wie heute mittels moderner Computer Zahlen mit vielen hundert Stellen faktorsiert werden können, also mit RSA verschlüsselte Botschaften IMMER entschlüsselt werden können, wurde bereits 1926 von Maurice Kraitchik formuliert.

http://de.wikipedia.org/w...

Die Idee beruht auf der Faktorisierung der Zahl n = pq, wie sie bei RSA benutzt wird in der Form

n = (a + b)(a - b) + ganze Vielfache von n

Liegt eine solche Faktorisierung vor, kann mit fünzig Prozent Wahrscheinlichkeit daraus der Wert von p und q bestimmt werden. Dies ist dann der Fall, wenn p Teiler von (a+b) und q Teiler (a-b) ist oder umgekehrt, aber die Zahl n nicht Teiler von (a+b) und (a-b) ist.

Die Faktoren p,q berechnen sich dann als

Größter gemeinsamer Teiler von (a-b, n) und (a+b,n) sehr schnell, trotz der großen Zahlen, mit einem Computer berechnen.

Der größte gemeinsame Teiler lässt sich leicht berechnen mit dem Euklidischen Algorithmus, der schon in der Antike bekannt war.

Führt das Verfahren nicht sofort zum Erfolg kann es so lange wiederholt werden, bis die Faktoren p und q gefunden werden.

Sorry, nochmal überarbeitet

Die grundlegende Idee, wie heute mittels moderner Computer Zahlen mit vielen hundert Stellen faktorsiert werden können, also mit RSA verschlüsselte Botschaften IMMER entschlüsselt werden können, wurde bereits 1926 von Maurice Kraitchik formuliert.

Die Idee beruht auf der Faktorisierung der Zahl n = pq, zusammengesetzt aus zwei großen Primzahlen p und q, wie sie bei RSA benutzt werden in der Form

n = (a + b)(a - b) + ganzzahlige Vielfache von n.

Liegt eine solche Faktorisierung vor, kann mit fünzig Prozent Wahrscheinlichkeit daraus der Wert von p und q bestimmt werden. Dies ist dann der Fall, wenn p Teiler von (a+b) und q Teiler (a-b) ist oder umgekehrt, aber die Zahl n nicht Teiler von (a+b) und (a-b) ist.

Die Faktoren p,q berechnen sich dann als der größte gemeinsamer Teiler von (a-b, n) und (a+b,n), sehr schnell, trotz der großen Zahlen, dank moderner Computer.

Der größte gemeinsame Teiler lässt sich leicht berechnen, mit dem Euklidischen Algorithmus, der schon in der Antike bekannt war.

Führt das Verfahren nicht sofort zum Erfolg, kann es so lange wiederholt werden, bis die Faktoren p und q gefunden werden.

Ich spiele mal den Advocatus Diaboli

"Wie es überhaupt dazu kommen konnte, dass der Geheimdienst Einfluss auf das Verfahren nahm, ist Engling zufolge leicht zu erklären. Zum einen ist das Nist gesetzlich dazu verpflichtet, staatliche Behörden wie die NSA einzubinden. Zum anderen sei die Zahl begabter Mathematiker mit Schwerpunkt Kryptografie "auf diesem Planeten recht überschaubar". Die NSA erkläre selbst stolz, der größte Arbeitgeber für studierte Mathematiker in den USA zu sein. "Wenn so eine Institution also die Expertise zu monopolisieren versucht, ist es nicht leicht, unabhängige Experten die Standards begutachten zu lassen.""

So klar ist, dass es zu den Aufgaben der NSA zählt Verschlüsselungsbemühungen der User zu umgehen, gehört auch genau das genau gegenteilige Interesse zum Aufgabenfeld der NSA!

Wenn die NSA mithilft ein Verschlüsselungsverfahren wie AES zu entwickeln, dann bemühen die sich auch darum, dass dort keine scheunentorgroßen Schwachstellen übersehen werden. Immerhin ist das dann ein Verfahren, was auch von den US-Behörden genutzt werden soll!

Und dann geht es nicht an, das "der Feind" plötzlich alle Top-Secret Dokumente einsehen kann, nur weil irgendeinem Nerd dann plötzlich doch die Hintertür aufgefallen ist und diese dann aller Welt offensteht.