Vom 21.09.1999
USA erlauben Kryptografie-Export
Bisher durfte höchstens ein 56-Bit-Schlüssel ins Ausland exportiert werden
Die US-Regierung hat sich dem Druck der High-Tech-Industrie gebeugt und den Export selbst der stärksten Software zur Verschlüsselung von Daten freigegeben. Ausgeschlossen sind nur Iran, Irak, Libyen, Syrien, Sudan, Nordkorea und Kuba.
Die US-Regierung hat ausserdem 80 Millionen Dollar für die kommenden vier Jahre beantragt, damit die Bundespolizei FBI ihre Möglichkeiten zur Entschlüsselung der Nachrichten von Kriminellen und Terroristen verbessern kann.
Zugute kommt die Exportfreigabe sicher den Verbrauchern, die ihre Daten oder auch Überweisungen im Internet verschlüsseln wollen. Die Entscheidung der Regierung in Washington hilft aber vor allem den US-Firmen im Wettbewerb mit der ausländischen Konkurrenz. Bislang mussten sie eigentlich immer zwei Produkte entwickeln, eines für den heimischen Markt und eines höchstens mit einer 56-Bit-Verschlüsselung, die für den Export bestimmt war. Zur Begründung für diese Grenze hieß es, sonst könnten auch Verbrecher und Terroristen von den stärkeren Verschlüsselungen profitieren und diese bei der Übermittlung ihrer Nachrichten nutzen.
Kritiker in den USA hatten aber schon darauf hingewiesen, dass es im Ausland inzwischen mehr als 800 Produkte mit einer stärkeren als der von der US-Regierung erlaubten Verschlüsselung gibt. Auch würden Terroristen und Verbrecher, die ihre Nachrichten verschlüsseln wollten, sich wohl kaum auf die Exportversionen der US-Software beschränken. Ob das FBI schon jetzt in der Lage ist, die Verschlüsselungen zu überwinden, wollte Justizministerin Janet Reno nicht sagen. Die Möglichkeiten der Behörde sollen aber auf jeden Fall verbessert werden.
Mit Material von: CT
Vom 04.09.1999
Hat US-Geheimdienst NSA Hintertür für Windows?
Im Rahmen einer detaillierte
Untersuchung des Betriebssystem Windows NT durch einen
amerikanischen Sicherheitssoftware-Entwickler konnte eine massive
Software-Hintertür, die offenbar auf den US-Geheimdienst NSA
zurückgeht, in den Betriebssystemen Windows 95, 98, NT sowie
Windows 2000 (beta) entdeckt werden, schreibt der Chaos Computer
Club in einer Pressemittelung.
Daraus entstehen nachhaltige Auswirkungen, da Microsoft weltweit
eingesetzt wird und somit von der NSA (National Security Agency)
beispielsweise auch zur Wirtschaftspionage gegen Deutschland
eingesetzt werden kann.
Die von Microsoft für Programmierer zur Verfügung gestellte
Anwendungsschnittstelle für Verschlüsselungsfunktionen, die
sog. "Crypto API" ist gegen das Einspielen und
Verändern von Verschlüsselungsmodulen im Betriebssystem
normalerweise geschützt. Externe Programmierer oder Unternehmen,
die Verschlüsselungsfunktionen für die
Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese
Module zunächst von Microsoft signieren lassen, bevor sie in der
Crypto API verfügbar sind.
Bei der Integration von externen Verschlüsselungsmodulen werden
diese von der Crypto API auf die entsprechende korrekte Signatur
mit einem Microsoft-RSA Key geprüft. Zum Zwecke dieser Prüfung
befindet sich der Microsoft RSA Public Key im entsprechenden
Modul neben einem weiteren, bislang nicht identifizierten RSA
Public Key. Durch die versehentliche Herausgabe einer noch mit
Debug-Symbolen versehenen Version des Prüfmoduls (in Windows
NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem
amerikanischen Geheimdienst NSA (National Security Agency)
zugehörig identifiziert werden; er wird im Programm mit als
"NSAKEY" bezeichnet.
Aufbauend auf dieser Erkenntnis muss man es als unmöglich
bezeichnen, auf der Microsoft Crypto API aufbauend wirklich
sichere Verschlüsselung zu betreiben. Denn durch Signierung von
der NSA produzierter unsicherer Verschlüsselungsfunktionen ist
es möglich, eigentlich sichere Verschlüsselungsmodule zu
überspielen.
Für den Anwender bedeutet dies, dass er sich nicht auf die
Sicherheit etwaiger Softwareprodukte verlassen kann, selbst wenn
diese durch öffentliche Tests und Dokumentation für sicher
befunden wurden; denn diese können längst durch manipulierte
Versionen der NSA ersetzt worden sein.
"Der wirtschaftliche und gesellschaftliche Schaden
durch derartige Hintertüren in amerikanischen Softwareprodukten
ist kaum abschätzbar. Es kann einfach nicht angehen, dass die
deutsche Bundesregierung auf der einen Seite autonome
Verschlüsselung fördert, auf der anderen Seite sich selbst auf
derartig unsichere Betriebssysteme verlässt"
kommertiert CCC-Sprecher Andy Müller-Maguhn den Vorfall; "selbst
in sensiblen Bereichen des Bundestages und der Regierung wird
Windows eingesetzt".
Club-Sprecher Frank Rieger forderte in dem Zusammenhang eine
europäische Open-Source Software-Initiative für
Sicherheits-Software ohne Hintertüren.
Die Erkenntnisse des amerikanischen Hintertür-Entdeckers gehen
sogar noch weiter; auch Angriffsmöglichkeiten durch Ersetzung
des NSA-Keys mit einem beliebigen anderen sind vom ihm
beschrieben.
Quelle: Golem Network News
Letzte Bearbeitung am 02.08.02