250595

Der NSA-Key: Subtile Rache von Bill Gates?

Was ist dran an den Gerüchten um die Hintertür in Windows?

Am 3.9.99 sorgte der Chaos Computer Club mit einer Pressemeldung für Schlagzeilen. Eine eingebaute Hintertür in Microsoft-Betriebssystemen sorge dafür, dass die amerikanische National Security Agency (NSA) starke Verschlüsselungsverfahren unterlaufen kann. Als Beweis präsentierte der Club einen Zertifizierungsschlüssel, der in einer speziellen Windows NT-Version den Namen NSAKEY trägt.

Sollte dies der Wahrheit entsprechen, so haben Microsoft-Programmierer ihrer Firma einen Milliarden-Schaden zugefügt. Denn mangels technischer Kenntnisse sind kryptografische Verfahren zuallererst Vertrauenssache. Wer den Schlüsseln nicht traut, kann gleich das ganze Betriebssystem wegwerfen. Unter diesem Gesichtspunkt besitzt die schiefe Darstellung des Chaos Computer Clubs sogar einen wahren Kern.

Microsoft reagierte prompt und bezeichnete die Sache mit der Hintertür als haltlose Anschuldigung. Der Name NSAKEY sei einfach deswegen von Programmierern benutzt worden, weil die NSA die zuständige Behörde für die Exporte von Verschlüsselungsverfahren sei.

Was hat es nun mit dem NSAKEY auf sich? Er ist ein sogenannter Public Key (siehe Glossar), der Kryptoalgorithmen zertifizieren kann. Solche Algorithmen sind bei Microsoft über eine sogenannte CryptoAPI als Treiber in das Betriebssystem eingebunden. Dieses modulare Verfahren sorgt dafür, das Microsoft in den USA eine starke Verschlüsselungtechnik und beim Export eine schwächere Version anbieten kann. Je nach Bedarf wird der entsprechende Kryptoalgorithmus installiert und von Microsoft zertifiziert, damit nicht Hinz und Kunz ihre Algorithmen einbauen können. Zur Zertifizierung dient ein Public Key, der von Microsoft im Betriebssystem hinterlegt ist.

Im Jahre 1998 entdecken Kryptologen in der CryptoAPI von Microsoft einen zweiten Public Key, der zertifizieren kann. Damals begannen Spekulationen, wozu dieser Schlüssel gut sein könnte. Die Wissenschaftler Nico van Someren und Adi Shamir führten den Nachweis, das dieser Zweitschlüssel einfach ausgetauscht werden kann, dies im Gegensatz zum fest eingebauten Schlüssel von Microsoft. In der Folgezeit konnten europäische Kryprohersteller den "Defekt" des Zweitschlüssels ausnutzen, eigene Kryptosysteme zu installieren und sich dabei selbst zu zertifizieren.

Einen ersten Hinweis über die Funktion des ominösen Schlüssels lieferte die NSA selber. Auf einer Website erklärte die amerikanische Sicherheitsbehörde, dass sie nicht die gängige Auffassung teile, dass militärische und ziviltechnische Kryptosysteme grundsätzlich verschiedene Dinge seien. Hieraus leitete die NSA die Erlaubnis ab, sich auch um zivile Kryptografie zu kümmern - was ihr durch ein Gesetz aus dem Jahre 1987 explizit verboten wurde.

So entpuppt sich der NSAKEY für die Selbstzertifikation von Kryptosystemen als einfacher Weg, mit dem die NSA sichere Regierungsversionen von Windows erzeugt, ohne dafür eine teure Microsoft-Lizenz zu zahlen. Der Hinweis auf den NSAKEY, den die Microsoft-Programmierer in einer Windows-Version stehengelassen haben, ist vielleicht eine subtile Rache an dem billigen Jakob der Regierungsstellen oder an dem Unsinn der Exportkontrolle, die jede amerikanische Softwarefirma behindert. Eines ist er jedenfalls nicht: eine eingebaute Hintertür zum Lauschen.

Inzwischen ist Windows 2000 im Anmarsch. Und siehe da, das neue Betriebssystem enthält einen dritten Zertifizierungsschlüssel. Wem der wohl gehören mag?

0 Kommentare zu diesem Artikel
250595