FBI-Backdoor in IPSec-Implementierung von OpenBSD?

Der OpenBSD-Gründer Theo de Raadt weist in einer Mail auf eine mögliche Hintertür in der Implementierung des IPSec-Stacks zum Aufbau von VPNs hin. Da weitere Open-Source-Projekte den Code übernommen haben, könnte die Hintertür dort ebenfalls enthalten sein. Die Hintertür soll in den Jahren 2000 bis 2001 Eingang in den Code gefunden haben, als OpenBSD-Entwickler im Auftrag der US-Regierung den Code manipuliert haben sollen.

In einer von de Raadt beigefügten Mail des Softwareentwicklers und nach eigenen Angaben ehemaligen OpenBSD-Contributors Gregory Perry wird namentlich der Entwickler Jason Wright als Beteiligter erwähnt. Wright ist beziehungsweise war einer der führenden Köpfe von OpenBSD.

Die Vorwürfe wiegen schwer, de Raadt hatte nach eigenen Angaben seit über zehn Jahren keinen Kontakt mehr mit Perry und stellt deshalb die Mail von Perry öffentlich zur Diskussion – auch um nach eigener Aussage nicht Teil dieser Verschwörungstheorie zu werden. De Raadt weist auch darauf hin, dass in den vergangenen zehn Jahren der betroffene Code mehrfach gepatcht, überarbeitet und neu geschrieben wurde. Daher ließe sich schwer einschätzen, ob die Hintertür überhaupt noch vorhanden sei.

Perry hat sich nach eigener Aussage erst jetzt an den OpenBSD-Gründer gewandt, weil seine Verschwiegenheitsvereinbarung mit dem FBI nach zehn Jahren ausgelaufen sei. Als Mitarbeiter des Unternehmens Netsec haben er damals eine FBI-Abteilung beraten, die sich unter anderem mit dem Einbau von Hintertüren und Key-Recovery (Key Escrow) in Smartcards beschäftigt habe. Daher wisse er, dass das FBI seinerzeit erfolgeich mehrere Hintertürchen und Möglichkeiten für Seitenkanal-Angriffe im OpenBSD Crypto Framework (OCF) platziert habe.

Laut Perry sei dies auch der Grund für den urplötzlichen Förderstopp des US-Verteidigungsministeriums für das OpenBSD-Projekt Anfang 2003 gewesen. Die DARPA hätte Wind von den Backdoors bekommen und deshalb weitere Finanzierungen eingestellt. Perry holt aber noch weiter aus: Auch der Virtualisierungsspezialist Scott Lowe soll auf der Gehaltsliste des FBI stehen. Dieser propagiere derzeit die Implementierung von OpenBSD für VPN- und Firewall-Lösungen in virtuellen Umgebungen.

Ob IPSec in OpenBSD nun wirklich noch eine Hintertür enthält, müssen Code-Reviews zeigen. Auch andere Projekte, die OpenBSD-Code verwenden, müssen ihren Code kontrollieren. Andere IPSec-Implementierungen wie KAME, das seine Wurzeln in Japan hat, dürften vermutlich nicht betroffen sein – es sei denn, es hätte einen siginifikanten Codeaustausch zwischen den Projekten gegeben. KAME ist Bestandteil von Mac OS X, NetBSD und FreeBSD – aber ab Version 2.7 auch in OpenBSD zu finden. Daneben gibt es noch strongSwan; Linux enthält die eigene Netkey-Implementierung im Kernel, unterstützt aber auch andere Lösungen. (dab)