Windows-Verschlüsselung offen für US-Geheimdienst?

Bei einer Analyse von Microsofts Verschlüsselungs-Interface (Crypto-API) in Windows NT 4 will der Amerikaner Andrew Fernandes eine Hintertür für den US-Geheimdienst NSA (National Security Agency) gefunden haben. Mit einem kryptografischen Schlüssel soll beim Nachladen von Verschlüsselungsmodulen sichergestellt werden, dass es sich um unveränderte und von Microsoft zugelassene Software handelt. Neben dem Microsoft-Key hat Fernandes einen zweiten Autorisationsschlüssel gefunden, den er auf Grund eines Debug-Labels der NSA zuschreibt. Fernandes folgert daraus, dass die NSA ohne Wissen und Einverständnis des Windows-Anwenders manipulierte Verschlüsselungsmodule in dessen Computer einbringen kann.

Über das Crypto-API stellt Windows Anwendungsprogrammen auf Anfrage Verschlüsselungsroutinen zur Verfügung, sodass diese nicht in jedem Programm aufs Neue implementiert werden müssen. Der deutsche Microsoft Solution Provider und Hersteller von Krypto-Software Glück&Kanja hat nach einer ersten Code-Analyse bestätigt, dass zur Prüfung von Modulen (Crypto Service Provider) alternativ ein zweiter, bisher undokumentierter Schlüssel Verwendung findet.

Die Programmierer von Glück&Kanja konnten auch einen von Fernandes geschilderten Angriff nachvollziehen, mit dem man den Zweitschlüssel nach Belieben auswechseln kann, sodass der Angreifer danach selbst die Kontrolle über das Crypto-API übernimmt. Damit scheint klar zu sein, dass auch die Windows-Verschlüsselungsschnittstelle vor Trojanischen Pferden nicht mehr sicher ist. Ein Anwender könnte unwissentlich beim Start einer Software eine Manipulation des Autorisationsschlüssels und die Installation einer Abhörschnittstelle in einem nachgeladenen Krypto-Modul veranlassen.

Christoph Fausak, Managing Developer bei Glück & Kanja, sagte in einer ersten Stellungnahme: "Ich denke, wir sehen hier möglicherweise den Kompromiss, den die US-Softwareindustrie mit der NSA geschlossen hat, um eine Lockerung der Exportrestriktionen zu erreichen. Wenn hinter dieser Aufdeckung das Standardverfahren der NSA steckt, sollte sich jeder gut überlegen, ob er in sicherheitskritischen Bereichen weiterhin US-Kryptographie einsetzt."

Der Chaos Computer Club kommentierte durch seinen Sprecher Andy Müller-Maguhn: "Der wirtschaftliche und gesellschaftliche Schaden durch derartige Hintertüren in amerikanischen Softwareprodukten ist kaum abschätzbar. Es kann einfach nicht angehen, daß die deutsche Bundesregierung auf der einen Seite autonome Verschlüsselung fördert, auf der anderen Seite sich selbst auf derartig unsichere Betriebssysteme verlässt. Selbst in sensiblen Bereichen des Bundestages und der Regierung wird Windows eingesetzt."

Siehe auch Telepolis: Sichere Verschlüsselung mit Windows in Frage gestellt (nl)