65512

Fehler im Zufallsgenerator betrifft auch Windows XP

22.11.2007 | 16:06 Uhr |

Nachdem israelische Forscher einen Fehler im Pseudo-Zufallsgenerator von Windows 2000 entdeckt und ein mögliches Angriffsszenario veröffentlicht haben, hat Microsoft eingeräumt, dass auch Windows XP davon betroffen ist.

Wissenschaftler der Universitäten von Haifa und Jerusalem haben den bislang unveröffentlichten Algorithmus des Pseudo-Zufallsgenerators in Windows 2000 genauer unter die Lupe genommen und dabei Schwachstellen entdeckt. So sind die erzeugten Pseudo-Zufallszahlen weit weniger zufällig als gemeinhin angenommen. Die Ergebnisse des Zufallsgenerators sind unter bestimmten Umständen sogar vorhersagbar. Daraus haben die israelischen Forscher ein theoretisches Angriffsszenario entwickelt.

Die Nichtvorhersagbarkeit von Pseudo-Zufallszahlen ist eine wichtige Eigenschaft eines Zufallsgenerators, denn darauf basieren kryptographische Algorithmen, etwa für verschlüsselte Datenübertragungen. Die Forscher um Benny Pinkas können durch Ausnutzung ihrer Entdeckung sowohl bereits erzeugte Schlüssel ermitteln wie auch zukünftig zu generierende Schlüssel vorhersagen.

Microsoft betont allerdings, dass es sich bei der entdeckten Schwachstelle nicht um eine Sicherheitslücke handele. Für eine erfolgreiche Umsetzung des Angriffsszenarios der israelischen Wissenschaftler seien Administratorrechte auf dem PC erforderlich. Wer ohnehin schon als Administrator schalten und walten könne, habe ohnehin alle Möglichkeiten, um an alle Daten zu gelangen, die er haben wolle.

Inzwischen hat Microsoft immerhin eingeräumt, dass nicht nur Windows 2000 betroffen ist sondern auch Windows XP SP2. Windows Server 2003, sein designierter Nachfolger Server 2008 sowie Windows Vista sollen mit einem anderen Zufallsgenerator ausgestattet sein, der die entdeckte Schwäche nicht aufweist. Bei Windows XP will Microsoft den Pseudo-Zufallsgenerator mit dem Service Pack 3 nachbessern, das für das erste Halbjahr 2008 erwartet wird.

Da es sich nach Lesart von Microsoft nicht um eine Sicherheitslücke handelt, ist es unwahrscheinlich, dass auch Windows 2000 noch mit einem entsprechenden Update versehen wird. Windows 2000 befindet sich bereits in der letzten Phase der Unterstützung durch den Hersteller, in der nur noch Sicherheits-Updates kostenlos bereit gestellt werden.

Die Analyse der israelischen Wissenschaftler ist in englischer Sprache als PDF-Datei erhältlich .

0 Kommentare zu diesem Artikel
65512