NSA-Affäre: Generatoren für Zufallszahlen unter der Lupe

Nachdem bekannt wurde, dass die NSA eine Backdoor in einen von NIST veröffentlichten Zufallszahlengenerator einbaute, werden nun viele Entropie-Quellen mit gesundem Misstrauen geprüft. So auch Intels Chip-basierte RDRAND-Funktion unter Linux.

In Pocket speichern vorlesen Druckansicht 274 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Die NSA baute eine Backdoor direkt in einen Standard für einen Pseudo-Zufallszahlengenerator des US-amerikanischen National Institute of Standards and Technology (NIST) ein. Der Dual_EC_DRBG-Standard wurde 2007 als Teil der NIST Special Publication 800-90 herausgegeben. Kurz nach der Veröffentlichung stellten die Microsoft-Forscher Niels Ferguson und Dan Shumow in einer Präsentation auf der Konferenz CRYPTO 2007 die Vermutung an, dass eine Schwachstelle im Code eine gezielt eingebrachte Backdoor sein könnte.

Aus Informationen, welche die Plattform für investigativen Journalismus ProPublica zusammen mit der New York Times vergangene Woche veröffentlichte, geht jetzt hervor, dass der entsprechende Standard in der Tat gezielt so von der NSA beeinflusst wurde, dass der Geheimdienst am Ende "der alleinige Verfasser" der Publikation war. Die Beeinflussung durch die NSA war Teil des SIGINT Enabling Project, welches zum Ziel hat, IT-Unternehmen und Standardisierungs-Gremien so zu manipulieren, dass Verschlüsselungen von der NSA umgangen werden können. Für das Steuerjahr 2012 weist das NSA-Budget für dieses Projekt 275,4 Millionen US-Dollar aus. Der NIST-Standard mit Backdoor wurde später ebenfalls von der Internationalen Organisation für Normung (ISO) ratifiziert.

Im Zuge der jüngsten Enthüllungen werden momentan auch andere Zufallszahlengeneratoren mit gesundem Misstrauen betrachtet. So postete Linux-Kernelentwickler Ted Ts'o auf Google+, dass er froh sei, trotz Druck durch Intel davon abgesehen zu haben, Intel's proprietären, Chip-basierten Zufallszahlengenerator RDRAND als alleinige Grundlage für die Entropie-Funktion /dev/random des Linux-Kerns zu verwenden. Nach der Meinung von Ts'o wäre die Nutzung einer Hardware-Lösung, welche nicht von unabhängigen Entwicklern eingesehen und geprüft werden könne, generell keine gute Idee. Allerdings spricht er sich dagegen aus, Intels RDRAND ganz zu verbannen. Statt dessen setzt er darauf, möglichst viele Zufallsquellen einzubinden, damit eine kompromittierte Quelle keinen Einfluss hat. Das macht durchaus Sinn, denn "Zufallszahl + 1" ist immer noch zufällig. (fab)