Das mit IT-Sicherheit und Kryptographie befasste Unternehmen RSA Security wurde anscheinend gründlicher als bisher gedacht von der NSA infiltriert. Zu diesem Schluss kam nun eine Forschergruppe. Sie berichtet, dass RSA nicht nur ein, sondern gleich zwei von der NSA entwickelte kryptographische Tools in seine Produkte eingebaut habe. Dies habe die Möglichkeiten der NSA, Internet-Kommunikation zu überwachen, massiv erweitert.
Bereits im Dezember 2013 hatte sich herausgestellt, dass die NSA RSA zehn Millionen US-Dollar (gut sieben Millionen Euro) dafür bezahlt hatte, eine Backdoor in seine Produkte einzubauen. RSA wurde dazu angehalten, "Dual Elliptic Curve", einen Pseudozufallszahlen-Generator mit von der NSA eingebauten Schwächen als Standard zu etablieren, was große Verbreitung erfuhr. Erst nach längerer Zeit - und nachdem Zweifel an der Zuverlässigkeit des Tools in der IT-Sicherheits-Gemeinde bereits laut geworden waren - hielt RSA seine Nutzer an, den Algorithmus nicht mehr zu verwenden.
Ein Forscherteam von Wissenschaftlern verschiedener US-Universitäten kam nun zu dem Schluss, dass eine weitere, auf einigen Websites eingesetzte Erweiterung namens "Extended Random" die Schwäche von "Dual Elliptic Curve" noch massiv verstärkte. In Tests wurden verschlüsselte Datenverbindungen damit mehrere zehntausend mal schneller geknackt. Dies legt nahe, dass die NSA ihre Backdoors noch weitläufiger als bisher gedacht in Produkten von RSA unterbrachte.
RSA - das bereits im Februar eine Kooperation mit der NSA zugab - bestritt die Forschungsergebnisse auf eine Anfrage der Nachrichtenagentur Reuters hin nicht. Das Unternehmen erklärte aber, es habe die Sicherheit seiner Produkte nicht absichtlich herab gesetzt. Zudem sei "Extended Random" niemals populär gewesen und im letzten halben Jahr aus dem Verkehr gezogen worden. Ein Sprecher erklärte, das Unternehmen hätte gegenüber den Intentionen der NSA skeptischer sein sollen, habe diesen aber vertraut, da die Behörde für die IT-Sicherheit der USA zuständig sei.
Eine NSA-Sprecherin verweigerte jeden Kommentar zur nun vorgelegten Studie oder zur Rolle der NSA bei der Entwicklung der fraglichen Software.
Quelle: http://www.reuters.com/article/2014/03/31/us-usa-security-nsa-rsa-idUSBREA2U0TY20140331
Bereits im Dezember 2013 hatte sich herausgestellt, dass die NSA RSA zehn Millionen US-Dollar (gut sieben Millionen Euro) dafür bezahlt hatte, eine Backdoor in seine Produkte einzubauen. RSA wurde dazu angehalten, "Dual Elliptic Curve", einen Pseudozufallszahlen-Generator mit von der NSA eingebauten Schwächen als Standard zu etablieren, was große Verbreitung erfuhr. Erst nach längerer Zeit - und nachdem Zweifel an der Zuverlässigkeit des Tools in der IT-Sicherheits-Gemeinde bereits laut geworden waren - hielt RSA seine Nutzer an, den Algorithmus nicht mehr zu verwenden.
Ein Forscherteam von Wissenschaftlern verschiedener US-Universitäten kam nun zu dem Schluss, dass eine weitere, auf einigen Websites eingesetzte Erweiterung namens "Extended Random" die Schwäche von "Dual Elliptic Curve" noch massiv verstärkte. In Tests wurden verschlüsselte Datenverbindungen damit mehrere zehntausend mal schneller geknackt. Dies legt nahe, dass die NSA ihre Backdoors noch weitläufiger als bisher gedacht in Produkten von RSA unterbrachte.
RSA - das bereits im Februar eine Kooperation mit der NSA zugab - bestritt die Forschungsergebnisse auf eine Anfrage der Nachrichtenagentur Reuters hin nicht. Das Unternehmen erklärte aber, es habe die Sicherheit seiner Produkte nicht absichtlich herab gesetzt. Zudem sei "Extended Random" niemals populär gewesen und im letzten halben Jahr aus dem Verkehr gezogen worden. Ein Sprecher erklärte, das Unternehmen hätte gegenüber den Intentionen der NSA skeptischer sein sollen, habe diesen aber vertraut, da die Behörde für die IT-Sicherheit der USA zuständig sei.
Eine NSA-Sprecherin verweigerte jeden Kommentar zur nun vorgelegten Studie oder zur Rolle der NSA bei der Entwicklung der fraglichen Software.
Quelle: http://www.reuters.com/article/2014/03/31/us-usa-security-nsa-rsa-idUSBREA2U0TY20140331
