Zeitung Heute : Experten bestreiten vorsätzliche Sicherheitslücken im Microsoft-Betriebssystem

Burkhard Schröder

Hat der amerikanische Geheimdienst NSA eine Hintertür in das Windows-Betriebssystem von Microsoft eingebaut? Seit einer Woche tobt die Debatte zum Thema im Internet. Die amerikanische Firma Cryptocom hat sie angestoßen: Andrew Fernandes, der Kryptografie-Experte des Unternehmens, verkündete am 31. August, er habe einen geheimen Schlüssel in Windows gefunden, der von den Programmierern "NSAKey" genannt worden sei. Der Chaos Computer Club wirft in einer Presseerklärung der Bundesregierung vor, sich auf "unsichere Betriebssysteme" zu verlassen. "Der wirtschaftliche Schaden durch derartige Hintertüren in amerikanischen Software-Produkten ist kaum abschätzbar."

In Wahrheit ist alles ganz anders. Markus Kuhn, Sicherheitsexperte der Universität Cambridge, meint: Wer "Hintertür" sage, habe "den Clou komplett missverstanden." Es gehe nicht um die automatische Installation von Software, ohne dass der Kunde etwas davon merke. "Gängige Virenscanner" würden ohnehin sofort anzeigen, falls jemand versuchte, neue Schlüssel heimlich auf die Rechner der Kunden zu laden.

Der Kryptologe Ross Anderson hatte schon vor einem Jahr vor dem Problem gewarnt, dass undokumentierte Funktionen zu Spekulationen Anlass geben könnten. Unstrittig ist, dass die Programme von Microsoft mit verschiedenen Krypto-Verfahren umgehen müssen. Innerhalb der USA dürfen die Algorithmen beliebig gewählt werden, für den Export dürfen sie eine bestimmte Länge nicht überschreiten. Die diversen Krypto-Bausteine werden von Treibern verwaltet, den sogenannten Cryptographic Service Providern (CSP).

Der amerikanische Geheimdienst NSA stellt selbst Treiber her, die Krypto-Algorithmen verwalten. Diese sind geheim, weil die US-Regierung sie benutzt. Die NSA wollte offenbar nicht, dass sie bei Microsoft hätte anfragen müssen, wenn die Verschlüsselungsmethoden geändert würden. Die Microsoft-Software muss jeden benutzten Algorithmus verifizieren, das heißt digital unterschreiben, wenn er im Programm enthalten ist. Die NSA hat, so scheint es, von Microsoft verlangt, einen zusätzlichen Schlüssel in jede Windows-Verson einzubauen, der die eigenen Dokumente unterschreibt. Deshalb braucht die US-Regierung keine eigene Windows-Sonderanfertigung zu kaufen, sondern kann sich der Software bedienen, die am Markt für jeden erhältlich ist. Der separate Schlüssel, der "NSAkey", war nicht besonders gut gesichert, sonst wäre er jetzt nicht zufällig entdeckt worden. Die Programmierer hätten ihn auch anders nennen können.

Dr. Brian Gladman, ehemaliger Direktor des Shape Technical Center in Den Haag, bestätigt, dass die Meldung ein "alter Hut" sei. Schon vor drei Jahren habe er das Problem in einem Papier beschrieben: Es gebe keine "back door". Microsoft müsse aber kritisiert werden, dass die Firma sich habe ausnutzen lassen, die restriktive Exportpolitik der amerikanischen Regierung für kryptografische Produkte im Windows-Betriebssystem zu berücksichtigen.

Microsoft wird diese Kritik annehmen. Der jetzt entdeckte Schlüssel erlaubt, die Exportbestimmungen der USA zu umgehen. Wenn eine Funktion des Betriebssystems ermögliche, Verschlüsselungsverfahren zu ändern, kann jeder seine eigenen Krypto-Treiber "erzeugen und installieren". Die NSA habe es unfreiwillig den Europäern leicht gemacht, eigene Verschlüsselungssoftware einzusetzen, sagt Markus Kuhn. Der Geheimdienst NSA habe sich "durch indirekte Provokation eines Microsoft-Programmierfehlers ins eigene Fleisch geschnitten."

Das gibt auch der Entdecker des Programmfehlers und des "geheimen" Schlüssels zu. Andrew Fernandes behauptet: "Für Windows ist die Exportkontrolle damit gestorben." Presseerklärung von Cryptonym

www.cryptonym.com/hottopics/msft-nsa.html

Stellungnahme von Microsoft

www.microsoft.com/presspass/press/1999/sept99/rsapr.htm

Brian Gladman: www.seven77.demon.co.uk/capi.pdf

Markus Kuhn: www.cl.cam.ac.uk/~mgk25/

National Securicy Agency: www.nsa.gov

ntbugtraq: www.ntbugtraq.com

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar
      Kommentar schreiben