Verschlüsselungen verwenden Zufallszahlen, die auf verschiedene Weise berechnet werden können. RSA Security bietet mit BSafe eine entsprechende Software an, in der bei der Berechnung der Zufallszahlen schon im September absichtliche Fehler gefunden worden, die die Verschlüsselung unsicher machen. RSA hatte daraufhin vor seinem eigenen Produkt gewarnt. Doch neue Dokumente von Edward Snowden belegen nun, dass der US-Geheimdienst National Security Agency 10 Millionen US-Dollar an RSA bezahlt hat, damit diese in BSafe eine von der NSA entwickelte Berechnung von Zufallszahlen verwendet. Auf diese Weise verschlüsselte Daten sind für die NSA leicht zu entschlüsseln.
Für den Sicherheitsexperten Bruce Schneier ist nun laut cnet klar, dass »RSA bestochen wurde. Ich würde den Teufel tun und ihnen vertrauen.« Außerdem hält er es für sehr wahrscheinlich, dass auch andere Firmen Geld von der NSA angenommen haben und man damit niemandem in der Sicherheitsbranche mehr trauen könne.
Update: RSA Security hat in seinem Unternehmensblog Stellung zu den Berichten bezogen. Man habe nie einen »geheimen Vertrag« mit der NSA abgeschlossen, um einen bekanntermaßen fehlerhaften Zahlengenerator in die eigenen Verschlüsselungsbibliotheken einzubauen. Die Zusammenarbeit mit der NSA sei aber nie ein Geheimnis gewesen. Schließlich sei das Ziel des Unternehmens mehr Sicherheit für Unternehmen und die Regierung.
Man habe sich damals für den betroffenen Zahlengenerator entschlossen, weil er eine bessere Verschlüsselung versprach und die NSA zu diesem Zeitpunkt in der Sicherheitsbranche einen vertrauenswürdigen Ruf gehabt habe, Verschlüsselung zu stärken, nicht zu schwächen. Außerdem sei der Algorithmus auch als Standard anerkannt worden, darauf habe man sich verlassen. Nachdem im September 2013 Zweifel aufkamen, habe man dies auch den Kunden und den Medien mitgeteilt.
Allerdings meldet Heise, dass Zweifel an dem komplett von der NSA entwickelten Zufallszahlengenerator schon im Jahr 2007 aufkamen und manche Experten zu diesem Zeitpunkt bereits eine Backdoor für den Geheimdienst darin vermuteten.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.