OpenSSL mit kaputter HintertĂĽr

Die von der NSA als Hintertür entworfene Zufallszahlenfunktion Dual EC findet sich auch in der offenen Krypto-Bibliothek OpenSSL. Allerdings war sie dort funktionsunfähig, ohne dass es jemand bemerkt hätte.

In Pocket speichern vorlesen Druckansicht 461 Kommentare lesen
Lesezeit: 2 Min.

Die Open-Source-Bibliothek für Krypto-Funktionen OpenSSL enthält auch eine Implementierung des Pseudo-Zufallszahlen-Generators "Dual EC DRBG" – das ist der mit der NSA-Backdoor. Dummerweise enthielt diese Implementierung einen Fehler, der dazu führt, dass die Funktion keine Zufallszahlen ausspuckt, sondern nur einen Fehler. Der Generator hat also über Jahre hinweg nie funktioniert – und niemand hat es gemerkt, weil niemand ihn verwendet hat.

Anders in der kommerziellen Krypto-Bibliothek BSAFE von RSA. Die setzte den trojanisierten Zufallszahlen-Generator sogar als Default ein. Entwickler, die auf die Voreinstellungen der Krypto-Experten von RSA vertrauten, haben damit dann beispielsweise Produkte erstellt, deren geheime Krypto-SchlĂĽssel sich erraten lassen. Das Beispiel der Open-Source-Bibliothek legt nahe, dass es jedoch keinen echten Bedarf fĂĽr diesen Zufallszahlen-Generator gab.

RSA baute Dual EC DRBG 2004 als Voreinstellung in die Bibliothek ein und kassierte dafür – wie es Veröffentlichungen aus den Unterlagen von Edward Snowden nahelegen – von der NSA 10 Millionen US-Dollar. Spätestens seit 2007, vermutlich sogar früher, wussten die Krypto-Experten von RSA von ernstzunehmenden Zweifeln an dessen Zuverlässigkeit.

Wie die Open-Source-Konkurrenz zeigt, hätten sie ihn jederzeit durch eine der existierenden Alternativen ersetzen können. Haben sie aber nicht; erst nach der Veröffentlichung der diesbezüglichen Snowden-Dokumnete reagierte RSA. Auch das kürzlich veröffentlichte, angebliche RSA-Dementi erklärt dieses Versäumnis nicht – genau so wenig wie es eine der anderen, konkreten Anschuldigungen entkräftet.

Bei OpenSSL wurde Dual EC DRBG für einen ungenannten Sponsor eingebaut, der die komplette Umsetzung des NIST-Zufallszahlen-Standards SP800-90A (PDF) beaufragte. Er war jedoch nie voreingestellt. Der erst jetzt gefundene Fehler soll auch nicht mehr behoben werden, erklären die Entwickler. In kommenden OpenSSL-Versionen wird Dual EC DRBG statt dessen entfernt. (ju)