Verschlüsselungsstandard unter Backdoor-Verdacht

Sicherheitsexperten weisen auf eine Schwachstelle in einem neuen Standard für Zufallszahlengeneratoren hin, die sich unter Umständen als Backdoor ausnutzen lässt. Der US-Geheimdienst NSA soll sich für die fragliche Technik stark gemacht haben.

In Pocket speichern vorlesen Druckansicht 268 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Peter Mühlbauer

Der Krypto-Guru Bruce Schneier wies in seiner Kolumne für Wired auf eine mögliche Backdoor in einem neuen US-Standard zur Erzeugung von Zufallszahlen hin. Einer der vier in dem Dokument "Special Publication 800-90" (PDF-Datei) des National Institute for Standards und Technology (NIST) veröffentlichten Zufallszahlengeneratoren – Dual_EC_DRBG – weiche auffällig von den anderen ab.

Auf der Konferenz Crypto 2007 hatten Nils Ferguson und Dan Shumow eine Schwäche des Generators (PDF-Datei) beschrieben, die laut Schneier als "Backdoor" einzustufen sei: Der in Dual_EC_DRBG verwendete Algorithmus beruhe auf elliptischen Kurven, die durch eine Reihe von Konstanten beschrieben würde. Diese Konstanten seien zwar im Anhang des NIST-Dokuments aufgeführt, aber nicht näher erläutert, wie sie zustande kämen. Ferguson und Shumow zeigten, dass diese Konstanten in Bezug zu einem nicht bekannten zweiten Satz von Zahlen stehen müssten. Verfügt jemand über diesen zweiten Satz, könne er ihn mit verhältnismäßig wenig Aufwand als eine Art Generalschlüssel verwenden.

Ferguson und Shumow unterstellten dabei ausdrücklich nicht, dass der Autor des Algorithmus sich der Schwachstelle bewusst gewesen sei oder gar "NIST absichtlich eine Backdoor in den Generator eingebaut" habe. Es ist nach Schneiers Darstellung auch nicht bekannt, ob NSA oder NIST über den zweiten Zahlensatz verfügen. Auch sei es möglich, Dual_EC_DRBG in einer Weise zu implementieren, dass das Backdoor-Problem nicht mehr besteht. Dies ist auch im NIST-Dokument als optionale Methode beschrieben.

Schneier stellt allerdings die Frage, warum sich der US-Geheimdienst NSA mit Nachdruck für die Aufnahme von Dual_EC_DRBG in den Standard eingesetzt habe, obwohl das seiner Meinung nach in mehrfacher Hinsicht keinen Sinn ergebe. Unter anderem sei der Zufallszahlengenerator um mehrere Größenordnungen langsamer als die andere drei zur Wahl stehenden. Der Experte empfiehlt, von der Verwendung von Dual_EC_DRBG abzusehen und stattdessen CTR_DRBG oder Hash_DRBG einzusetzen. (pem)