OpenSSL mit kaputter Hintertür

26.12.2013 18:19 Uhr Jürgen Schmidt

Die von der NSA als Hintertür entworfene Zufallszahlenfunktion Dual EC findet sich auch in der offenen Krypto-Bibliothek OpenSSL. Allerdings war sie dort funktionsunfähig, ohne dass es jemand bemerkt hätte.

Die Open-Source-Bibliothek für Krypto-Funktionen OpenSSL enthält auch eine Implementierung des Pseudo-Zufallszahlen-Generators "Dual EC DRBG" – das ist der mit der NSA-Backdoor [1]. Dummerweise enthielt diese Implementierung einen Fehler [2], der dazu führt, dass die Funktion keine Zufallszahlen ausspuckt, sondern nur einen Fehler. Der Generator hat also über Jahre hinweg nie funktioniert – und niemand hat es gemerkt, weil niemand ihn verwendet hat.

Anders in der kommerziellen Krypto-Bibliothek BSAFE von RSA [3]. Die setzte den trojanisierten Zufallszahlen-Generator sogar als Default ein. Entwickler, die auf die Voreinstellungen der Krypto-Experten von RSA vertrauten, haben damit dann beispielsweise Produkte erstellt, deren geheime Krypto-Schlüssel sich erraten lassen. Das Beispiel der Open-Source-Bibliothek legt nahe, dass es jedoch keinen echten Bedarf für diesen Zufallszahlen-Generator gab.

RSA baute Dual EC DRBG 2004 als Voreinstellung in die Bibliothek ein und kassierte dafür – wie es Veröffentlichungen aus den Unterlagen von Edward Snowden nahelegen – von der NSA 10 Millionen US-Dollar. [4] Spätestens seit 2007, vermutlich sogar früher [5], wussten die Krypto-Experten von RSA von ernstzunehmenden Zweifeln an dessen Zuverlässigkeit.

Wie die Open-Source-Konkurrenz zeigt, hätten sie ihn jederzeit durch eine der existierenden Alternativen ersetzen können. Haben sie aber nicht; erst nach der Veröffentlichung der diesbezüglichen Snowden-Dokumnete reagierte RSA [6]. Auch das kürzlich veröffentlichte, angebliche RSA-Dementi [7] erklärt dieses Versäumnis nicht – genau so wenig wie es eine der anderen, konkreten Anschuldigungen entkräftet.

Bei OpenSSL wurde Dual EC DRBG für einen ungenannten Sponsor eingebaut, der die komplette Umsetzung des NIST-Zufallszahlen-Standards SP800-90A [8] (PDF) beaufragte. Er war jedoch nie voreingestellt. Der erst jetzt gefundene Fehler soll auch nicht mehr behoben werden, erklären die Entwickler. In kommenden OpenSSL-Versionen wird Dual EC DRBG statt dessen entfernt. (ju [9])

URL dieses Artikels:
https://www.heise.de/-2072370

Links in diesem Artikel:
[1] https://www.heise.de/news/NSA-zahlte-10-Millionen-US-Dollar-fuer-Krypto-Backdoor-2071567.html
[2] http://marc.info/?l=openssl-announce&m=138747119822324&w=2
[3] http://www.emc.com/security/rsa-bsafe.htm
[4] https://www.heise.de/news/NSA-zahlte-10-Millionen-US-Dollar-fuer-Krypto-Backdoor-2071567.html
[5] https://twitter.com/matthew_d_green/status/414962089849942017
[6] https://www.heise.de/news/RSA-warnt-vor-Schwachstelle-in-eigenem-Tool-1962442.html
[7] https://www.heise.de/news/Backdoor-in-Krypto-Software-RSA-Security-dementiert-NSA-Zahlungen-2071891.html
[8] http://csrc.nist.gov/publications/nistpubs/800-90A/SP800-90A.pdf
[9] mailto:ju@ct.de