"An der Geschichte ist nichts dran. Wir haben keine Hintertüren in irgendwelchen
Produkten." Mit Nachdruck hat der für Sicherheitsfragen zuständige Microsoft-Manager
Scott Culp den Vorwurf dementiert, in die Microsoft-Betriebssysteme sei ein
Spionage-Zugang für den US-Geheimdienst National Security Agency (NSA) eingebaut
worden.
NSAKEY
Die angebliche Entdeckung des Mathematikers und Programmierers Andrew Fernandes
hatte am Freitag Anwender und Sicherheitsexperten in aller Welt aufgeschreckt.
Fernandes berichtet auf der Website seines Unternehmens
Cryptonym Corporation
, er sei
im Verschlüsselungs-Interface (Crypto-API) auf einen kryptografischen Schlüssel mit dem
Namen NSAKEY gestoßen. Aus der Bezeichnung folgerte Fernandes, dass dieser
Schlüssel der NSA das heimliche Austauschen von Verschlüsselungsmodulen und damit
das Ausspionieren von vertraulichen Daten auf jedem Windows-Rechner ermögliche.
Microsoft bestreitet die Interpretation von Fernandes entschieden
Es handele sich bei
dem Zweitschlüssel nur um ein Backup für den ersten, sagte Culp. Der Name "NSAKEY"
bringe zum Ausdruck, dass die Software amerikanischen Export- und
Sicherheitsvorschriften entspreche, die von der NSA überwacht werden. Culp räumte ein,
die Bezeichnung sei unglücklich gewählt worden. "Konspirationstheoretiker werden sich
nun abarbeiten, aber die Wirklichkeit ist viel langweiliger", sagte er.
Unter Sicherheitsexperten wird die Sache heiß diskutiert
Manche halten Fernandes'
Darstellung für aus der Luft gegriffen, zumal dafür außer dem Variablennamen kein
weiteres konkretes Indiz vorliegt. Andere sehen Microsofts Erklärung als nicht ausreichend
an. "Es gibt keinen technischen Grund, einen zweiten Verifikationsschlüssel einzubauen",
sagte der Direktor der Smartcard Developers Association, Marc Briceno, dem
US-Magazine Wired.
Auch diejenigen, die Microsoft glauben, halten es jedenfalls für einen schweren Fehler, daß
die Existenz des zweiten Schlüssel nicht publiziert wurde. "Sie haben ihr Ansehen erneut
abgewertet, weil sie das nicht offen gelegt haben", sagte Mark Seiden von dem auf
Datensicherheit spezialisierten Unternehmen Kroll-Ogara. Erst vor wenigen Tagen war die
Sicherheit der Microsoft-Produkte in Zweifel geraten, als Hacker den E-Mail-Dienst
Hotmail geknackt hatten. Ein schweren Image-Schaden für Microsoft befürchtet auch Culp:
"Wir werden dafür noch und noch bezahlen müssen", sagte er gegenüber der New York
Times. (heise.de)
Original-Dokumentation des Entdeckers Andrew Fernandes
http://www.cryptonym.com/hottopics/msft-nsa.html
Pressemitteilung des Chaos Computer Club
Grundlagenpapier zum Finden von Schlüsseln in Datenmengen von
Nicko van Someren und Adi Shamir
http://www.ncipher.com/products/files/papers/anguilla/keyhide2.pdf
National Security Agency http://www.nsa.gov
Gesetzliche Grundlagen der Schwächung von US-
Sicherheitsprodukten für den Export
http://www.epic.org/crypto/export_controls
http://www.microsoft.com