“Exclusive: Secret contract tied NSA and security industry pioneer” – laut dieser am Freitag von Reuters herausgegebenen Agenturmeldung soll die NSA der Verschlüsselungsfirma RSA (deren Algorithmus zum Austausch von Schlüsseln etwa beim Online-Einkauf und auch überall sonst verwendet wird) 10 Millionen Dollar bezahlt haben, dafür dass sie in einem Algorithmus zur Erzeugung zufälliger Primzahlen in Bsafe (einer eigentlich der “Abhörsicherheit” von PCs dienenden Software) eine “Hintertür” einbaut. Letzteres war schon seit Snowden bekannt gewesen, die neue Enthüllung jetzt sind die geflossenen 10 Millionen Dollar. (Vielleicht keine so ganz grosse Summe, aber nun fragt man sich natürlich, ob das die einzige Zahlung in einem solchen Zusammenhang gewesen sein sollte.) RSA hatte – schon im September – empfohlen, Bsafe nicht mehr zu nutzen.

Mehr Einzelheiten in der Reuters-Meldung.

Detailliertere Beschreibungen:
The Many Flaws of Dual_EC_DRBG
The NSA back door to NIST

via Not even wrong

NB: Überschrift nachträglich geändert, siehe Nachträge im Kommentarteil.

Kommentare (18)

  1. #1 Thilo
    23. Dezember 2013

    PS: RSA bzw. die Nachfolgefirma bestreitet die Zahlungen kategorisch: https://www.zdnet.de/88179557/bericht-sicherheitsdienstleister-rsa-erhielt-millionen-von-nsa/

  2. #3 Thilo
    23. Dezember 2013

    Zum mathematischen Hintergrund ein paar ältere Folien von Shumow und Ferguson: https://rump2007.cr.yp.to/15-shumow.pdf

  3. #4 Dr. Webbaer
    23. Dezember 2013

    Was heißt das genau: ‘Backdoor’?

    Der Entwickler hat es hier mit kryptologischen Modulen zu tun, die zwar gekapselt, aber im Code umfänglich vorliegen könnten. Wie genau könnte eine derartige gewollte Minderleistung der kryptologischen Logik funktionieren?
    Verweisen Sie gerne punktgenau.

    MFG
    Dr. W

  4. #5 rolak
    23. Dezember 2013

    backdoor in a computer system (or cryptosystem or algorithm) is a method of bypassing normal authentication, securing illegal remote access to a computer, obtaining access to plaintext, and so on, while attempting to remain undetected.

    WB hat wie üblich ka – und die Texte hinter den links nicht gelesen, die punktgenau das Wie erklären.

  5. #6 Dr. Webbaer
    24. Dezember 2013

    Gehört in den Artikel, Sie, Rolak, haben das Wie aber auch nicht erklärt, sondern nur, wie eine Hintertür definiert ist.

  6. #7 rolak
    24. Dezember 2013

    Das Wie ist oben im Artikel erklärend verlinkt, ich habe mir nur erlaubt, die Erklärung des außerhalb von url hier nicht vorkommenden, von Dir offensichtlich unverstanden aufgebrachten Wortes ‘backdoor’ nachzuliefern. Solch Klärung ist einem normalen Menschen vor Gebrauch eines Wortes selbstverständlich.

  7. #8 Dr. Webbaer
    24. Dezember 2013

    (…) von Dir offensichtlich unverstanden aufgebrachten Wortes ‘backdoor’ nachzuliefern (…)

    Die Bedeutung ist bekannt, danke für Ihre Nachricht; der Einbau einer in diesem Sinne gemeinten Hintertür ist aber auf kryptologische Logik bezogen kaum denkbar.

    D.h. es muss um etwas anderes gehen.

    MFG
    Dr. W (der aber den Webverweisen nur unzureichend gefolgt ist, weil eben eine Erörterung im Rahmen des Primärinhalts erwartet worden ist)

  8. #9 rolak
    24. Dezember 2013

    kaum denkbar

    Für des Fragers Beschränkungen ist er selbst zuständig.

  9. #10 Dr. Webbaer
    24. Dezember 2013

    Womöglich besteht ein Unterschied, werter Herr Rolak, darin, dass Ihr Kommentatorenfreund mit RSA-Modulen gearbeitet hat bzw. mit diesen Arbeiten ließ, entwickeln ließ und dass diese Module lokal tatsächlich sozusagen in natura vorlagen und einen wichtigen Teil der geschäftlichen Implementation der Geschäftslogik bedeuteten.

    Wobei diese Module aber keine Nachrichten anleiteten, keine Logik besaßen über ein wie auch immer geartetes Protokoll den Nachrichtenaustausch anzuleiten.

    Was wiederum bedeuten könnte, dass die generierten großen unteilbaren Zahlen, die Primzahlen, vorab bekannt sein könnten. – Hier könnten unsere Überlegungen, auch diejenigen Ihrer Nussigkeit, womöglich ansetzen.

    MFG
    Dr. W

  10. #11 Thilo
    24. Dezember 2013

    Für das RSA-Verfahren benötigt man zufällig ausgewählte große Primzahlen. Für deren Erzeugung hat man bei Bsafe einen Algorithmus, der mit Hilfe elliptischer Kurven pseudozufallige Primzahlen generiert. Shumow-Ferguson haben herausgefunden, dass sich dieses Verfahren zur Primzahlerzeugung hacken läßt. Einzelheiten im oben verlinkten Artikel https://jiggerwit.wordpress.com/2013/09/25/the-nsa-back-door-to-nist/ oder natürlich in den im 3.Kommentar verlinkten Folien von Shumow-Ferguson.

  11. #12 Dr. Webbaer
    24. Dezember 2013

    The back door

    This algorithm is fatally flawed, as Ferguson and Shumow pointed out [Shumow-Ferguson]. Since P and Q are non-identity elements of a cyclic group of prime order, each is a multiple of the other. Write P = e * Q, for some integer e. We show that once we have e in hand, it is a simple matter to determine the secret internal state s of the pseudo-random bit generator by observing the output b, and thus to compromise the entire system. (Quelle)

    Thanks, man.

    Schöne Grüße nach MS,
    Weihnachten und so,
    Dr. W

  12. #13 Thilo
    24. Dezember 2013

    Peter Woit kommentiert das RSA-Dementi so:

    There’s a response to the Reuters story from RSA here. As I read it, it says

    – They do have a secret contract with the NSA that they cannot discuss
    – They used the NSA back-doored algorithm in their product because they trust the NSA
    – They didn’t remove it when it became known because they really are incompetent, not because the NSA was paying them to act incompetent

    It’s hard to see why anyone would now trust their products.

  13. #14 wereatheist
    24. Dezember 2013

    It’s hard to see why anyone would now trust their products.

    Ich verstehe sowieso nicht, warum irgendjemand im Zusammenhang mit Kryptographie ein ‘Produkt’ einsetzt, das nicht im Quellcode vorliegt. Natürlich kann man auch in FLOSS irgendwie eine backdoor einschleusen, aber i.d.R. nicht für lange.

  14. #15 wereatheist
    24. Dezember 2013

    Achso, der ALGORITHMUS war schlecht /:
    Das ist natürlich fies.

  15. #16 AdminBob
    4. März 2014

    Hallo Thilo,

    sry wenn ich hier wegen meinem Thema im falschen Thread bin aber hab kein passenden gefunden. In den kürzlich veröffentlichten Snowden Dokumenten, einer PowerPoint Präsentation ohne den dazugehörigen Text ist die Rede von ich sag mal obskuren Techniken zur Manipulation. https://www.golem.de/news/britischer-geheimdienst-gchq-stasi-zersetzung-1402-104777.html
    Dieser Artikel hat mich auf die Präsentationen
    https://firstlook.org/theintercept/document/2014/02/18/psychology-new-kind-sigdev/
    Aufmerksam gemacht. Ab Seite 27 wird die Verwendung einer Software gezeigt.
    In den Nachrichten ist oft von den fähigen NSA-Rechnern die Rede.
    Ich habe mich gefragt, wie genau man dadurch nutzen gewinnen kann wenn man die Daten aller Personen hat die sich in irgendeiner Form im Internet bemerkbar machen.
    Und vor allem sind die “Szenarien” die skizziert werden, wirklich technisch möglich? Inwieweit kann Extrapolation erfolgen?
    Ausgehend von 6,9 Millarden Menschen, plus den persönlichen Daten( Adresse, Geburt etc.), allen Kontobewegungen, Telefonverbindungen, Einkäufen, Bilmaterial etc.. Da kommt man ja schon locker auf Hunderte von Faktoren hinzu die rekursive tiefe des Beziehungsgeflechts.
    Lassen sich auf so einer Basis Modelle erstellen die Vorhersagen oder gar Manipulationen zulassen, also große Ereignisse hervorrufen oder eine Krise nicht eskalieren lassen usw.?

    Und eine andere Frage noch, für den Hausgebrauch, gibt es da was besseres als PGP Verschlüsselung bzw alternativen?

  16. #17 Thilo
    4. März 2014

    Persönlich glaube ich ja, dass eine solche Masse an Informationen nur dazu führt, dass man den Wald vor lauter Bäumen nicht mehr sieht und gar nichts mehr überblickt. Aber das ist jetzt nur meine Meinung. Data Mining ist natürlich ein weites Feld.

  17. #18 Thilo
    20. Januar 2015