Sicherheitsunternehmen warnt nach NSA-Enthüllung vor eigener Software
Sicherheitsunternehmen warnt nach NSA-Enthüllung vor eigener Software
20. September 2013, 10:02
Zufallsgenerator Dual EC DRBG in BSAFE und Data Protection Manager als
Standard eingerichtet
Das Sicherheitsunternehmen RSA Security warnt vor potenziellen
Sicherheitslücken, die durch die Verwendung eines von der NSA
mitentwickelten Algorithmus entstehen könnten. Betroffen ist die
Crypto-Programmbibliothek RSA Bsafe als auch ein Schlüsselmanagement-System,
wie Wired berichtet.
Es geht dabei um einen Algorithmus namens "Dual EC DRBG", der für das
Erzeugen pseudozufälliger Zahlen zuständig ist. Wie die New York Times
berichtet hat, könnte die NSA absichtlich eine Schwachstelle in diesen
eingebaut und dann ihren Einfluss genutzt haben, um ihn vom National
Institute of Standards and Technology im Jahre 2006 zu einem national
anerkannten Standard erheben zu lassen.
Als Standard eingestellt
Betroffen sind alle Versionen des RSA BSAFE-Toolkits sowie der RSA Data
Protection Manager auf Server- und Clientseite. Dort ist Dual EC DRBG als
Standardalgorithmus für Zufallszahlen eingerichtet. RSA rät nun seinen
Kunden dringend, auf einen anderen der sechs integrierten Zufallsgeneratoren
umzusteigen, um "ein Hohes Maß an Absicherung" sicherzustellen. RSA ist das
erste Unternehmen, dass auf Basis der Funde der New York Times eine solche
Warnung lanciert.
Interne Prüfung
Da jede von RSA hergestellte Software, die über Kryptografiefunktionen
verfügt, mit dem Zufallsgenerator arbeiten könnte, nimmt das Unternehmen
auch eine interne Prüfung aller eigenen Produkte vor, die nächste Woche
abgeschlossen sein soll. "Wir wollen sicherstellen, dass wir selbst unseren
eigenen Rat befolgen und diesen Algorithmus nicht verwenden", so der
Technikchef des Unternehmens zu Wired. Künftige Releases von BSAFE und
anderer Software werden auf einen anderen Standard eingestellt.
Seit 2004 findet sich Dual EC DRBG in Produkten von RSA. Er gehörte zu den
ersten Zufallsgeneratoren, der zur Berechnung auf elliptische Kurven setzt.
Algorithmen dieser Art erlangten damals große Popularität unter
Sicherheitsexperten, da sie den bis dahin genutzten Mechanismen überlegen
waren.
(red, derStandard.at, 20.09.2013)
Links
RSA Security
Wired
http://derstandard.at/1379291450962/Sicherheitsunternehmen-warnt-vor-NSA-Algorithmus
Zufallsgenerator Dual EC DRBG in BSAFE und Data Protection Manager