Sicherheitsfirma RSA warnt vor eigenem Tool

Zufallszahlen sind für die Verschlüsselung von zentraler Bedeutung. Die RSA-Software, eine Art Werkzeugkasten für Entwickler namens BSafe, ist dem Mutterkonzern EMC zufolge "in Tausenden kommerzieller Anwendungen integriert" und wird unter anderem für die Programmierung von Internetbrowsern benutzt.

Das Problem: Ein in BSafe enthaltenes Werkzeug zur Erstellung von Zufallszahlen basiert auf einer von der NSA mitentwickelten, schwachen Formel, wie RSA in einer E-Mail an Entwickler erklärte. Die von dem Generator ausgespuckten Zahlen könnten also alles andere als zufällig sein und dem US-Geheimdienst Zutritt zu allerlei vermeintlich sicher verschlüsselten Informationen bieten.

RSA rät Entwicklern daher dazu, einen der anderen in dem Programmpaket enthaltenen Zufallsgeneratoren zu verwenden. Für zahlreiche Anwendungen, die den möglicherweise kompromittierten Zufallsgenerator bereits verwenden, dürfte diese Warnung jedoch zu spät kommen. Bislang unklar ist, wie RSA Entwickler erreichen will, die inzwischen nicht mehr seine Produkte verwenden, und wie wiederum die Programmierer Kontakt mit ihren Kunden aufnehmen werden.

Laut "New York Times" soll die NSA den öffentlichen Verschlüsselungsstandard beeinflusst haben, um ein für die NSA-Experten nachvollziehbares Muster in scheinbar zufällige Zahlen einzuschleusen. Die Zeitung beruft sich dabei auf geheime Unterlagen des ehemaligen Geheimdienstmitarbeiters Edward Snowden.

Das zuständige amerikanische Nationale Standardisierungsinstitut Nist hat angekündigt, das Verfahren zu prüfen. Das Institut ist nach eigenen Angaben per Gesetz verpflichtet, mit der NSA zusammenzuarbeiten und "sich auf Richtlinien zur Sicherheit von Computersystemen zu beziehen, die die NSA entwickelt hat".