Unsichere Zufallszahlen
Zufallszahlen spielen eine große Rolle. – nicht zuletzt bei Verschlüsselungsverfahren, deren Ziel der Schutz sensibler Daten ist. Umso beunruhigender wenn herausgefunden wird, dass eines der vier gerade neu durch US-Behörden standardisierten Verfahren (pdf zum Thema) für Zufallszahlengeneratoren eine Sicherheitslücke enthält, die als backdoor geeignet ist.
Dies Lücke im Algorithmus wird in der Präsentation (pdf) anlässlich der CRYPTO 2007.
Bug oder Feature?
Nun stellt sich die Frage, ob es sich dabei um eine zufälligen Fehler oder eben doch eine beabsichtigte Backdoor-Funktion handelt die die NSA dort "eingebaut" hat.
Hier zeigt sich wieder einmal der Vorteil von Open Source. Wenn der Quellcode offenliegt, kommen auch solche Probleme schnell zum Vorschein. Wenn alles Closed Source bleibt, wähnt man sich weiter sicher.
Die Meldung im Original bei wired.
Eike Elser 17-11-2007
Comments
Leave a Reply