NSA: "Unterstützung von schwachen Zufallszahlen war ein Fehler"

15. Jänner 2015, 12:14
4 Postings

Behörde hätte Support für Dual_EC_DRBG nach Kritik zurückziehen müssen

Es kommt eher selten vor, dass Geheimdienste wie die NSA Fehler eingestehen. Um so überraschender kommt nun ein Statement des Forschungsleiters der US-Behörde. Dass man den DUAL_EC_DRBG-Standard zur Erstellung von Zufallszahlen weiter forciert habe, obwohl Sicherheitsexperten schnell auf grundlegenden Probleme hingewiesen hätten, sei eine "bedauernswerte Entscheidung" gewesen, so Michael Wertheimer laut Threatpost.

Kritik

Bereits im Jahr 2007 hatten Microsoft-Forscher darauf hingewiesen, dass die Schwächen in der Zufallszahlenerkennung als eine Art zentrales Backdoor für Verschlüsselungssoftware zu betrachten seien. Sowohl die NSA als auch das National Institute of Standards and Technology (NIST) beharrten aber weiter auf die Standardisierung von DUAL_EC_DRBG.

Fragwürdige Perspektive

Freilich ist die Perspektive von Wertheimer eine, die zumindest fragwürdig ist. Lässt sich doch aus den Snowden-Dokumenten schließen, dass es sich bei der Forcierung der fehlerhaften Methode zur Erstellung von Zufallszahlen keineswegs um ein Versehen sondern um eine gezielte Maßnahme der NSA gehandelt habe. Ein Vorgang der übrigens bis heute das Vertrauensverhältnis zwischen dem NIST und der Sicherheits-Community nachhaltig beschädigt hat.

Support

Wirklich erfolgreich war die NSA mit ihrem Vorstoß aber ohnehin nicht. Aufgrund der Sicherheitsbedenken wurde DUAL_EC_DRBG von kaum einem Softwarehersteller übernommen. Mit einer Ausnahme: RSA Security hatte den Algorithmus übernommen - offenbar nach erheblichem Geldfluss durch die NSA. (apo, derStandard.at, 15.1.2015)

  • Die Erzeugung von wirklich zufälligen Zufallszahlen ist schwerer als man denkt - selbst wenn Geheimdienste nicht aktiv dagegen arbeiten.

    Die Erzeugung von wirklich zufälligen Zufallszahlen ist schwerer als man denkt - selbst wenn Geheimdienste nicht aktiv dagegen arbeiten.

Share if you care.