Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Verschlüsselung: RSA bestreitet Millionen-Deal mit der NSA

Von

NSA-Zentrale in Maryland: RSA bestreitet absichtlich geschwächte Verschlüsselung Zur Großansicht
DPA

NSA-Zentrale in Maryland: RSA bestreitet absichtlich geschwächte Verschlüsselung

Zehn Millionen Dollar soll das Sicherheitsunternehmen RSA von der NSA bekommen haben, um eine unsichere Verschlüsselung zu verbreiten. Das zeigen neue Snowden-Dokumente. Das Unternehmen wehrt sich gegen den Vorwurf.

Die amerikanische IT-Sicherheitsfirma RSA wehrt sich gegen den Vorwurf, gegen Geld eine Hintertür in das Kryptografie-Produkt Bsafe eingebaut zu haben. "Wir weisen diese Behauptungen kategorisch zurück", heißt es in einer Stellungnahme auf der RSA-Website.

Damit reagiert die Firma auf neue Enthüllungen aus dem Fundus Edward Snowdens. Am Freitag meldete die Nachrichtenagentur Reuters unter Berufung auf die Unterlagen, die NSA habe zehn Millionen Dollar an RSA gezahlt, damit das Unternehmen einen seit Jahren als unsicher geltenden, manipulierten Zufallszahlen-Generator in ihr Kryptografie-Programm Bsafe verbaue und diesen als Standard-Einstellung an Kunden ausliefere.

Dass etwas mit dem Krypto-Algorithmus namens "Dual Elliptic Curve Deterministic Random Bit Generation" (Dual EC DRBG) nicht stimmt, wurde schon länger vermutet. Die NSA hatte diesen Zufallsgenerator entwickelt, die amerikanische Standardisierungsbehörde NIST hatte ihn zu einem von vier Standard-Algorithmen zur Verschlüsselung und Entschlüsselung von Daten erklärt.

Zweifel gibt es schon seit 2007

Bereits 2007 allerdings hatten zwei IT-Forscher ein wissenschaftliches Papier veröffentlicht, wonach es Hinweise auf eine mathematische Hintertür in Dual EC DRBG gebe. Im September berichtete die "New York Times" dann unter Berufung auf Snowden-Unterlagen, die NSA sei für eine absichtlich platzierte Schwäche im Algorithmus verantwortlich. Daraufhin zog die NIST ihre Empfehlung zurück und RSA empfahl seinen Kunden, den Algorithmus nicht mehr zu nutzen - sechs Jahre nach Bekanntwerden der ersten Zweifel.

Man habe mit der NSA zusammengearbeitet, als Verkäufer und aktives Mitglied der Sicherheitscommunity, erklärt RSA jetzt in seiner öffentlichen Stellungnahme. Aber: "Unser ausgesprochenes Ziel war immer, kommerzielle und Regierungssicherheit zu stärken." RSA gilt als eine der wichtigsten Sicherheitsfirmen im IT-Bereich - und für viele als eine der umstrittensten.

Veröffentlichungen kommen zu einem heiklen Zeitpunkt

Warum der als unsicher geltende und von der NSA entwickelte Krypto-Standard jahrelang verwendet wurde? Das Unternehmen gibt an, die NSA habe 2004 als vertrauenswürdig gegolten, und der besagte Algorithmus sei nur einer von mehreren verwendeten gewesen. Die NIST habe an dem Algorithmus festgehalten, auch dann noch, als 2007 erste Bedenken laut wurden. Schließlich, nach Bekanntwerden der kryptografischen Schwächung, habe man sich gemeinsam mit der NIST von dem Standard verabschiedet.

Die RSA "als Sicherheitsfirma" diskutiere keine Kundenangelegenheiten, heißt es in der Stellungnahme. Man könne aber "kategorisch feststellen, dass wir niemals einen Vertrag oder ein anderes Projekt mit dem Ziel eingegangen sind, RSA-Produkte zu schwächen oder potentielle Hintertüren in unsere Produkte zur allgemeinen Benutzung einzubauen". Die IT-Sicherheitsszene diskutiert nun darüber, ob hinter den umständlichen Formulierungen eine Spitzfindigkeit oder ein ernstzunehmendes Dementi stecken.

Die Veröffentlichungen kommen zu einem heiklen Zeitpunkt für die NSA: Erst letzte Woche veröffentlichte das Weiße Haus einen Untersuchungsbericht zur NSA-Affäre. Darin heißt es auch, dass "Verschlüsselung das wichtigste Fundament für Vertrauen im Internet" ist. Die NSA solle aufhören, dieses Vertrauen zu unterminieren.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 41 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
gog-magog 23.12.2013
Zitat von sysopDPAZehn Millionen Dollar soll das Sicherheitsunternehmen RSA von der NSA bekommen haben, um eine unsichere Verschlüsselung zu verbreiten. Das zeigen neue Snowden-Dokumente. Das Unternehmen wehrt sich gegen den Vorwurf. http://www.spiegel.de/netzwelt/web/it-firma-rsa-dementiert-10-millionen-deal-mit-nsa-a-940620.html
Es war zu erwarten, dass die NSA für alles den Schlüssel hat. Damit lockt man keinen mehr hinter dem Ofen hervor.
2. Credibility
jorgeG 23.12.2013
Pexh gehabt, RSA, die Glaubwürdigkeit der Informationen aus der Quelle Snowden liegt bei 100 %.
3. Wir Verbraucher haben es in der Hand,
gegenrede 23.12.2013
sinkende Renditen der US-Firmen werden einen guten Druck aufbauen....
4. RSA sitzt in der Falle
titopoli 23.12.2013
1. Stimmt der Vorwurf nicht, so weist RSA ihn zurück. 2. Stimmt der Vorwurf, so weist RSA ihn zurück. Im ersten Fall zurecht, im zweiten Fall vom Staat gezwungen. Wie soll ich das unterscheiden? Mit solch unsicheren Sicherheitsunternehmen arbeite ich eben nicht zusammen. (Nicht nur ich)
5. nicht nur im IT- Bereich....
katerramus 23.12.2013
Zitat von gegenredesinkende Renditen der US-Firmen werden einen guten Druck aufbauen....
Es sollten viel mehr Menschen amerikanische Produkte meiden: lieber zur Pommesbude um die Ecke gehen als zu Mc...., lieber einheimische Dunkelbrause trinken als CC, lieber Produkte von Henkel als von PG kaufen, statt kalifornischen Wein heimische Lagen (oder französische ;) ), anstelle von Marlbo Gauloises qualmen....... DAS würde in Amerika Druck aufbauen.......
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: