Verschlüsselung RSA bestreitet Millionen-Deal mit der NSA

Zehn Millionen Dollar soll das Sicherheitsunternehmen RSA von der NSA bekommen haben, um eine unsichere Verschlüsselung zu verbreiten. Das zeigen neue Snowden-Dokumente. Das Unternehmen wehrt sich gegen den Vorwurf.

Von

NSA-Zentrale in Maryland: RSA bestreitet absichtlich geschwächte Verschlüsselung
DPA

NSA-Zentrale in Maryland: RSA bestreitet absichtlich geschwächte Verschlüsselung


Die amerikanische IT-Sicherheitsfirma RSA wehrt sich gegen den Vorwurf, gegen Geld eine Hintertür in das Kryptografie-Produkt Bsafe eingebaut zu haben. "Wir weisen diese Behauptungen kategorisch zurück", heißt es in einer Stellungnahme auf der RSA-Website.

Damit reagiert die Firma auf neue Enthüllungen aus dem Fundus Edward Snowdens. Am Freitag meldete die Nachrichtenagentur Reuters unter Berufung auf die Unterlagen, die NSA habe zehn Millionen Dollar an RSA gezahlt, damit das Unternehmen einen seit Jahren als unsicher geltenden, manipulierten Zufallszahlen-Generator in ihr Kryptografie-Programm Bsafe verbaue und diesen als Standard-Einstellung an Kunden ausliefere.

Dass etwas mit dem Krypto-Algorithmus namens "Dual Elliptic Curve Deterministic Random Bit Generation" (Dual EC DRBG) nicht stimmt, wurde schon länger vermutet. Die NSA hatte diesen Zufallsgenerator entwickelt, die amerikanische Standardisierungsbehörde NIST hatte ihn zu einem von vier Standard-Algorithmen zur Verschlüsselung und Entschlüsselung von Daten erklärt.

Zweifel gibt es schon seit 2007

Bereits 2007 allerdings hatten zwei IT-Forscher ein wissenschaftliches Papier veröffentlicht, wonach es Hinweise auf eine mathematische Hintertür in Dual EC DRBG gebe. Im September berichtete die "New York Times" dann unter Berufung auf Snowden-Unterlagen, die NSA sei für eine absichtlich platzierte Schwäche im Algorithmus verantwortlich. Daraufhin zog die NIST ihre Empfehlung zurück und RSA empfahl seinen Kunden, den Algorithmus nicht mehr zu nutzen - sechs Jahre nach Bekanntwerden der ersten Zweifel.

Man habe mit der NSA zusammengearbeitet, als Verkäufer und aktives Mitglied der Sicherheitscommunity, erklärt RSA jetzt in seiner öffentlichen Stellungnahme. Aber: "Unser ausgesprochenes Ziel war immer, kommerzielle und Regierungssicherheit zu stärken." RSA gilt als eine der wichtigsten Sicherheitsfirmen im IT-Bereich - und für viele als eine der umstrittensten.

Veröffentlichungen kommen zu einem heiklen Zeitpunkt

Warum der als unsicher geltende und von der NSA entwickelte Krypto-Standard jahrelang verwendet wurde? Das Unternehmen gibt an, die NSA habe 2004 als vertrauenswürdig gegolten, und der besagte Algorithmus sei nur einer von mehreren verwendeten gewesen. Die NIST habe an dem Algorithmus festgehalten, auch dann noch, als 2007 erste Bedenken laut wurden. Schließlich, nach Bekanntwerden der kryptografischen Schwächung, habe man sich gemeinsam mit der NIST von dem Standard verabschiedet.

Die RSA "als Sicherheitsfirma" diskutiere keine Kundenangelegenheiten, heißt es in der Stellungnahme. Man könne aber "kategorisch feststellen, dass wir niemals einen Vertrag oder ein anderes Projekt mit dem Ziel eingegangen sind, RSA-Produkte zu schwächen oder potentielle Hintertüren in unsere Produkte zur allgemeinen Benutzung einzubauen". Die IT-Sicherheitsszene diskutiert nun darüber, ob hinter den umständlichen Formulierungen eine Spitzfindigkeit oder ein ernstzunehmendes Dementi stecken.

Die Veröffentlichungen kommen zu einem heiklen Zeitpunkt für die NSA: Erst letzte Woche veröffentlichte das Weiße Haus einen Untersuchungsbericht zur NSA-Affäre. Darin heißt es auch, dass "Verschlüsselung das wichtigste Fundament für Vertrauen im Internet" ist. Die NSA solle aufhören, dieses Vertrauen zu unterminieren.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 41 Beiträge
Alle Kommentare öffnen
Seite 1
gog-magog 23.12.2013
1.
Zitat von sysopDPAZehn Millionen Dollar soll das Sicherheitsunternehmen RSA von der NSA bekommen haben, um eine unsichere Verschlüsselung zu verbreiten. Das zeigen neue Snowden-Dokumente. Das Unternehmen wehrt sich gegen den Vorwurf. http://www.spiegel.de/netzwelt/web/it-firma-rsa-dementiert-10-millionen-deal-mit-nsa-a-940620.html
Es war zu erwarten, dass die NSA für alles den Schlüssel hat. Damit lockt man keinen mehr hinter dem Ofen hervor.
jorgeG 23.12.2013
2. Credibility
Pexh gehabt, RSA, die Glaubwürdigkeit der Informationen aus der Quelle Snowden liegt bei 100 %.
gegenrede 23.12.2013
3. Wir Verbraucher haben es in der Hand,
sinkende Renditen der US-Firmen werden einen guten Druck aufbauen....
titopoli 23.12.2013
4. RSA sitzt in der Falle
1. Stimmt der Vorwurf nicht, so weist RSA ihn zurück. 2. Stimmt der Vorwurf, so weist RSA ihn zurück. Im ersten Fall zurecht, im zweiten Fall vom Staat gezwungen. Wie soll ich das unterscheiden? Mit solch unsicheren Sicherheitsunternehmen arbeite ich eben nicht zusammen. (Nicht nur ich)
katerramus 23.12.2013
5. nicht nur im IT- Bereich....
Zitat von gegenredesinkende Renditen der US-Firmen werden einen guten Druck aufbauen....
Es sollten viel mehr Menschen amerikanische Produkte meiden: lieber zur Pommesbude um die Ecke gehen als zu Mc...., lieber einheimische Dunkelbrause trinken als CC, lieber Produkte von Henkel als von PG kaufen, statt kalifornischen Wein heimische Lagen (oder französische ;) ), anstelle von Marlbo Gauloises qualmen....... DAS würde in Amerika Druck aufbauen.......
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.