Link: www.ccc.de (extern) (Archiv-Version vom 02.12.2006)Presseinformation des Chaos Computer Club, 03. September 1999
Microsoft-Betriebssysteme mit eingebauter Hintertür:
Sichere Verschlüsselungmit Windows in Frage gestellt
Durch detaillierte Untersuchung des BetriebssystemWindows NT durch einen amerikanischen Sicherheitssoftware-Entwickler konnte eine massiveSoftware-Hintertür, die offenbar auf den US-Geheimdienst NSA zurückgeht in denBetriebssystemen Windows 95, 98, NT sowie Windows 2000 (beta) entdeckt werden. Diese hatnachhaltige Auswirkungen auf die Sicherheit der Microsoft-Betriebssysteme.
Nachdem die Bestrebungen des amerikanischen Geheimdienstes NSA (National SecurityAgency) zur weltweiten Kommunikationskontrolle mit Hilfe international einheitlichenRegulierung von Verschlüsselungsverfahren herbe Rückschläge erlitten hat, wird nunoffenbar versucht dasselbe fiel durch Einbau von Hintertüren in die marktdominierendenamerikanischen Softwareprodukte zu erreichen.
Die von Microsoft fürProgrammierer zur Verfügung gestellte Anwendungsschnittstelle fürVerschlüsselungsfunktionen, die sog. "Crypto API" ist gegen das Einspielen und Verändernvon Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt. ExterneProgrammierer oder Unternehmen, die Verschlüsselungsfunktionen für dieMicrosoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst vonMicrosoft signieren lassen, bevor sie in der Crypto API verfügbar sind.
Bei derIntegration von externen Verschlüsselungsmodulen werden diese von der Crypto API auf dieentsprechende korrekte Signatur mit einem Microsoft-RSA Key geprüft. Zum Zwecke dieserPrüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einemweiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentlicheHerausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in WindowsNT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem amerikanischenGeheimdienst NSA (National Security Agency) zugehörig identifiziert werden; er wird imProgramm mit als "NSAKEY" bezeichnet.
Aufbauend auf dieser Erkenntnis muß man esals unmöglich bezeichnen, auf der Microsoft Crypto API aufbauend sichere Verschlüsselungzu betreiben. Denn durch Signierung von der NSA produzierter unsichererVerschlüsselungsfunktionen ist es möglich, eigentlich sichere Verschlüsselungsmodule zuüberspielen.
Für den Anwender bedeutet dies, daß er sich nicht auf dieSicherheit etwaiger Softwareprodukte verlassen kann, selbst wenn diese durch öffentlicheTests und Dokumentation für sicher befunden wurden; denn diese können längst durchmanipulierte Versionen der NSA ersetzt worden sein.
"Der wirtschaftliche undgesellschaftliche Schaden durch derartige Hintertüren in amerikanischen Softwareproduktenist kaum abschätzbar. Es kann einfach nicht angehen, daß die deutsche Bundesregierung aufder einen Seite autonome Verschlüsselung fördert, auf der anderen Seite sich selbst aufderartig unsichere Betriebssysteme verlässt" kommertiert CCC-Sprecher Andy Müller-Maguhnden Vorfall; "selbst in sensiblen Bereichen des Bundestages und der Regierung wirdWindows eingesetzt".
Club-Sprecher Frank Rieger forderte in dem Zusammenhangeine europäische Open-Source Software-Initiative für Sicherheits-Software ohneHintertüren.
Der Chaos Computer Club fordert die Gesetzgeber zum Schutz derAllgemeinheit auf, eine Deklarationspflicht für Hintertüren bei Software einzuführen.Dies gilt insbesondere für Software aus Ländern, in denen die Hersteller per Gesetz zumEinbau entsprechender Hintertüren bzw. Sicherheitseinschränkungen verpflichtet werdenkönnen. "Die Benutzer sollten nicht länger mit scheinbaren Sicherheitsfunktionengetäuscht werden." sagte CCC-Sprecher Frank Rieger.
Die Erkenntnisse desamerikanischen Hintertür-Entdeckers gehen sogar noch weiter; auch Angriffsmöglichkeitendurch Ersetzung des NSA-Keys mit einem beliebigen anderen sind vom ihm beschrieben.
Quellen im Netz:
Original-Dokumentation des Entdeckers Andrew Fernandes
http://www.cryptonym.com/hottopics/msft-nsa/msft-nsa.htmlGrundlagenpapierzum Finden von Schlüsseln in Datenmengen von Nicko van Someren und Adi Shamir
http://www.ncipher.com/products/files/papers/anguilla/keyhide2.pdfNationalSecurity Agency
http://www.nsa.govGesetzliche Grundlagen derSchwächung von US-Sicherheitsprodukten für den Export
http://www.epic.org/crypto/export_controls
Original anzeigen (0,2 MB)Quelle:
http://www.ccc.de/press/releases/1999/CCC19990903.html?language=de (Archiv-Version vom 02.12.2006)
