Microsoft bestreitet Beihilfe zur Spionage für US-Geheimdienst

"An der Geschichte ist nichts dran. Wir haben keine Hintertüren in irgendwelchen Produkten." Mit Nachdruck hat der für Sicherheitsfragen zuständige Microsoft-Manager Scott Culp den Vorwurf dementiert, in die Microsoft-Betriebssysteme sei ein Spionage-Zugang für den US-Geheimdienst National Security Agency (NSA) eingebaut worden. NSAKEY

Die angebliche Entdeckung des Mathematikers und Programmierers Andrew Fernandes hatte am Freitag Anwender und Sicherheitsexperten in aller Welt aufgeschreckt. Fernandes berichtet auf der Website seines Unternehmens

Cryptonym Corporation

, er sei im Verschlüsselungs-Interface (Crypto-API) auf einen kryptografischen Schlüssel mit dem Namen NSAKEY gestoßen. Aus der Bezeichnung folgerte Fernandes, dass dieser Schlüssel der NSA das heimliche Austauschen von Verschlüsselungsmodulen und damit das Ausspionieren von vertraulichen Daten auf jedem Windows-Rechner ermögliche.

Microsoft bestreitet die Interpretation von Fernandes entschieden

Es handele sich bei dem Zweitschlüssel nur um ein Backup für den ersten, sagte Culp. Der Name "NSAKEY" bringe zum Ausdruck, dass die Software amerikanischen Export- und Sicherheitsvorschriften entspreche, die von der NSA überwacht werden. Culp räumte ein, die Bezeichnung sei unglücklich gewählt worden. "Konspirationstheoretiker werden sich nun abarbeiten, aber die Wirklichkeit ist viel langweiliger", sagte er.

Unter Sicherheitsexperten wird die Sache heiß diskutiert

Manche halten Fernandes' Darstellung für aus der Luft gegriffen, zumal dafür außer dem Variablennamen kein weiteres konkretes Indiz vorliegt. Andere sehen Microsofts Erklärung als nicht ausreichend an. "Es gibt keinen technischen Grund, einen zweiten Verifikationsschlüssel einzubauen", sagte der Direktor der Smartcard Developers Association, Marc Briceno, dem US-Magazine Wired.

Auch diejenigen, die Microsoft glauben, halten es jedenfalls für einen schweren Fehler, daß die Existenz des zweiten Schlüssel nicht publiziert wurde. "Sie haben ihr Ansehen erneut abgewertet, weil sie das nicht offen gelegt haben", sagte Mark Seiden von dem auf Datensicherheit spezialisierten Unternehmen Kroll-Ogara. Erst vor wenigen Tagen war die Sicherheit der Microsoft-Produkte in Zweifel geraten, als Hacker den E-Mail-Dienst Hotmail geknackt hatten. Ein schweren Image-Schaden für Microsoft befürchtet auch Culp: "Wir werden dafür noch und noch bezahlen müssen", sagte er gegenüber der New York Times. (heise.de)

Original-Dokumentation des Entdeckers Andrew Fernandes

http://www.cryptonym.com/hottopics/msft-nsa.html

Pressemitteilung des Chaos Computer Club

Grundlagenpapier zum Finden von Schlüsseln in Datenmengen von Nicko van Someren und Adi Shamir http://www.ncipher.com/products/files/papers/anguilla/keyhide2.pdf

National Security Agency http://www.nsa.gov

Gesetzliche Grundlagen der Schwächung von US- Sicherheitsprodukten für den Export http://www.epic.org/crypto/export_controls

http://www.microsoft.com