Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
Verschlüsselung Allgemein A n a l y s e n Moderne Verfahren Klassische Verfahren  Historie Organisationen Entschlüsselung Spezial  Entschlüssel. 
Org. der Verschlüsselsysteme  Pseudo-Verschlüsselung  Org. der Entschlüsselung  Sicherheit - Politik  Anwendungen  Zeittafel Entschl.   P o l i t i k 
Die Organisation der Entschlüsselung


Die Bedeutung der Organisation
NSA soll SSL-Verbindungen mit RC4 in Echtzeit knacken

Verschlüsselungs-standard gezielt unterwandert
Die NSA setzt das Programm Bullrun gegen verschlüsselte Kommunikation ein

NSA arbeitet an "bahnbrechender" Kryptoanalyse
Sicherheitsunternehmen warnt nach NSA-Enthüllung vor eigener Software
Quelle: der Standard, Wien, Austria

NSA hat Verschlüsselungsstandard gezielt unterwandert



Andreas Proschofsky, 11. September 2013, 14:43
Image
foto: flickr.com/robert_scarth (CC-Lizenz)
Die Erzeugung zufälliger Zahlen ist ein wichtiger Eckpfeiler von Verschlüsselung, wird diese unterwandert, wird auch die Verschlüsselung geschwächt.

Mathematische Schwächen in Zufallszahlenalgorithmus eingebracht
Für einiges Aufsehen sorgten unlängst Berichte, dass es dem US-Geheimdienst NSA gelungen sei, weite Teile der im Internet genutzten Verschlüsselung auszuhebeln. Bei den Details gaben sich New York Times und Co. allerdings äußerst zurückhaltend, zumindest in einem Fall liefert man diese nun nach - und bestätigt damit die Befürchtungen so mancher SicherheitsxpertInnen.
Unterwanderung
Offenbar hat die NSA ihre Position als Berater des US-amerikanischen National Institute of Standards and Technology (NIST) ausgenutzt, um bereits im Jahr 2006 gezielt den Standard zur Erzeugung von Zufallszahlen zu unterwandern, und mit Dual_EC_DRGB einen fehlerhaften Algorithmus einzubringen. Dies berichtet die New York Times in Berufung auf Dokumente des ehemaligen NSA-Mitarbeiters Edward Snowden.
Kontrolle
Während das NIST jahrelang behauptet hatte, dass die NSA nur eine beitragende Rolle zu dem betreffenden Standard hatte, scheint dieser in Wirklichkeit praktisch zur Gänze unter Kontrolle des Geheimdienstes entwickelt worden zu sein. In weiterer Folge schafften es NSA und NIST ihre geschwächte Zufallszahlenlösung zum ISO-Standard erheben zu lassen - der von 163 Ländern unterstützt wird.
Essentiell
Zufallszahlen sind ein Kernfaktor für jegliche Form von Verschlüsselung. Sind die daraus erzeugten Zahlen nicht wirklich zufällig, erleichtert dies Angriffe gegen verschlüsselte Systeme erheblich.
Kritik
Abzuwarten bleibt noch, wie viele Hard- und Softwarelösungen tatsächlich von diesem Defizit betroffen sind. Immerhin ist es nicht das erste Mal, dass Dual_EC_DRGB in der Kritik steht. Schon im Jahr 2007 hatten Sicherheitsforscher darauf hingewiesen, dass der Standard eine Schwäche enthält, die als Backdoor zur Entschlüsselung darauf basierender Lösungen genutzt werden könnte. In Folge hatte auch der angesehene Sicherheitsexperte Bruce Schneier offen von der Verwendung von Dual_EC_DRGB abgeraten.
Schaden
Beim NIST übt man sich in Schadensbegrenzung, so hat man nun die Kommentare zu den eigenen Empfehlungen zur Implementation von Zufallszahlengeneratoren wieder geöffnet, um diese erneut prüfen zu können. Ob dies ausreicht, um das Vertrauen der Sicherheits-Community zurückzugewinnen, darf allerdings in Frage gestellt werden. (apo, derStandard.at, 11.09.13)
Link
Bericht der New York Times


http://derstandard.at/1378248770508/NSA-hat-Verschluesselungsstandard-gezielt-unterwandert


Bemerkung:
Eine umfassende Beschreibung der NIST zum Zufallsgenerator finden sie auf nachfolgender Seite
weitere unfassende Informationen finden Sie unter Fachberichte SP 800 - 90, verschiedene aktualisierte Informationen

Bemerkung:
siehe auch die Schwächung des GSM- Standards durch die Nachrichtendienste