Verdacht: NSA kontrolliert Verschlüsselungssystem

Die Ermittlung von zufälligen Zahlen kann mit einem Computer nur simuliert werden, da er ausschließlich mit mathematischer Logik funktioniert. Daher kommen spezielle Methoden wie etwa Hash-Berechnungen zum Einsatz. Hierbei führen geringe Änderungen der Ausgangsparameter zu extrem unterschiedlichen Endergebnissen. Diese Berechnungen lassen sich nur schwer vorhersagen und werden somit als Zufall eingestuft. Prinzipiell besteht dabei aber auch die Möglichkeit, dass die Technik geknackt wird. Dies geschah bereits mehrere Male in der Vergangenheit. So ließ sich im Jahr 1996 der Schlüssel einer frühen SSL-Version rekonstruieren, wodurch die Kodierung umgangen werden konnte.

Der von Schneier kritisierte Code mit dem Namen Dual_EC_DRBG ist in der Publikation des National Institute for Standards and Technology neben drei weiteren Methoden enthalten. Laut dem Sicherheitsexperten unterscheidet sich dieser vor allem durch seine Geschwindigkeit, denn er sei deutlich langsamer. Dennoch habe sich die NSA für den Code eingesetzt und versuchte bereits zuvor, den Algorithmus beim Standardisierungsgremium einzubringen. Schneider bemängelt, dass der Code eine sehr geringe Bandbreite an Zufallswerten erzeugt. Zwar sei das noch kein wirkliches Problem, allerdings ein Anlass zur Sorge, schreibt der Experte.

Einen weiteren Hinweis lieferten die Kryptographie-Experten Dan Shumow und Niels Fergusion. Sie zeigten eine Schwachstelle auf, die man als Hintertür bezeichnen kann. Dual_EC_DRBG verwendet Formeln zu Berechnung einer Ellipse, die über Konstanten definiert wird. Diese sind in der Spezifikation zu finden. Nirgendwo ist allerdings ein Hinweis zu entdecken, woher diese konstanten Werte stammen. Die Kryptographen konnten jedoch nachweisen, dass die Konstanten in Bezug zu einem weiteren Zahlensatz stehen. Dieser ist zwar nicht bekannt, allerdings könne er als Generalsschlüssel benutzt werden, wodurch man die Zufallsergebnisse exakt vorhersagen könne, meint Schneier.

Nun gebe es zwar keinen Beweis dafür, dass die NSA tatsächlich im Besitz des nötigen Zahlensatzes ist. “Es ist jedoch verwunderlich, dass sich die NSA so vehement für den Algorithmus als Standard eingesetzt hat”, merkt Schneier an. Wer einen Zufallsgenerator benötigt, soll daher nach Ansicht des Experten nicht auf Dual_EC_DRBG zurückgreifen.

Silicon-Redaktion

Recent Posts

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

7 Stunden ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

7 Stunden ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

7 Stunden ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

1 Tag ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

1 Tag ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

1 Tag ago