Homepage Cyberwar Cybersecurity Cyberspace C-Spionage C-Sabotage Gefährdung Kriminalität Computer Kommunikation mod. Systeme Der Mensch Beratung Bildung Fachberichte Information Kryptologie Emission Verschlüsselung Forschung Begriffe Recht Technik Verschiedenes
Verschlüsselung Allgemein A n a l y s e n Moderne Verfahren Klassische Verfahren  Historie Organisationen Entschlüsselung Spezial  Entschlüssel. 
Org. der Verschlüsselsysteme  Pseudo-Verschlüsselung  Org. der Entschlüsselung  Sicherheit - Politik  Anwendungen  Zeittafel Entschl.   P o l i t i k 
Die Organisation der Entschlüsselung


Die Bedeutung der Organisation
NSA soll SSL-Verbindungen mit RC4 in Echtzeit knacken

Verschlüsselungs-standard gezielt unterwandert
Die NSA setzt das Programm Bullrun gegen verschlüsselte Kommunikation ein

NSA arbeitet an "bahnbrechender" Kryptoanalyse
Sicherheitsunternehmen warnt nach NSA-Enthüllung vor eigener Software
Quelle: der Standard, Wien, Austria

Sicherheitsunternehmen warnt nach NSA-Enthüllung vor eigener Software


20. September 2013, 10:02

Zufallsgenerator Dual EC DRBG in BSAFE und Data Protection Manager als Standard eingerichtet
Das Sicherheitsunternehmen RSA Security warnt vor potenziellen Sicherheitslücken, die durch die Verwendung eines von der NSA mitentwickelten Algorithmus entstehen könnten. Betroffen ist die Crypto-Programmbibliothek RSA Bsafe als auch ein Schlüsselmanagement-System, wie Wired berichtet.

Es geht dabei um einen Algorithmus namens "Dual EC DRBG", der für das Erzeugen pseudozufälliger Zahlen zuständig ist. Wie die New York Times berichtet hat, könnte die NSA absichtlich eine Schwachstelle in diesen eingebaut und dann ihren Einfluss genutzt haben, um ihn vom National Institute of Standards and Technology im Jahre 2006 zu einem national anerkannten Standard erheben zu lassen.

Als Standard eingestellt
Betroffen sind alle Versionen des RSA BSAFE-Toolkits sowie der RSA Data Protection Manager auf Server- und Clientseite. Dort ist Dual EC DRBG als Standardalgorithmus für Zufallszahlen eingerichtet. RSA rät nun seinen Kunden dringend, auf einen anderen der sechs integrierten Zufallsgeneratoren umzusteigen, um "ein Hohes Maß an Absicherung" sicherzustellen. RSA ist das erste Unternehmen, dass auf Basis der Funde der New York Times eine solche Warnung lanciert.

Interne Prüfung
Da jede von RSA hergestellte Software, die über Kryptografiefunktionen verfügt, mit dem Zufallsgenerator arbeiten könnte, nimmt das Unternehmen auch eine interne Prüfung aller eigenen Produkte vor, die nächste Woche abgeschlossen sein soll. "Wir wollen sicherstellen, dass wir selbst unseren eigenen Rat befolgen und diesen Algorithmus nicht verwenden", so der Technikchef des Unternehmens zu Wired. Künftige Releases von BSAFE und anderer Software werden auf einen anderen Standard eingestellt.
Seit 2004 findet sich Dual EC DRBG in Produkten von RSA. Er gehörte zu den ersten Zufallsgeneratoren, der zur Berechnung auf elliptische Kurven setzt. Algorithmen dieser Art erlangten damals große Popularität unter Sicherheitsexperten, da sie den bis dahin genutzten Mechanismen überlegen waren.
 (red, derStandard.at, 20.09.2013)


Links
RSA Security
Wired


http://derstandard.at/1379291450962/Sicherheitsunternehmen-warnt-vor-NSA-Algorithmus




Bemerkung:
Eine umfassende Beschreibung der NIST zum Zufallsgenerator finden sie auf nachfolgender Seite
weitere unfassende Informationen finden Sie unter Fachberichte SP 800 - 90, verschiedene aktualisierte Informationen