Juniper Networks, einer der weltgrößten Netzwerkausrüster, will den umstrittenen Zufallszahlengenerator Dual_EC_DRBG (der Hersteller selbst spricht von Dual-EC) aus seinem Betriebssystem ScreenOS entfernen. Das teilt das Unternehmen in seinem Blog mit. ScreenOS ist zwar schon älter, kommt aber noch in zahlreichen Routern und anderen Netzwerkgeräten zum Einsatz. Der Zufallszahlengenerator soll über Software-Updates im ersten Halbjahr 2016 gegen den im neueren Junos OS verwendeten Generator ersetzt werden.

Der Entschluss, den umstrittenen Zufallszahlengenerator zu entfernen, ist der vorläufige Schlusspunkt einer rätselhaften Geschichte. Deren Hintergründe sind nach wie vor unklar. Seit einigen Jahren steht bereits fest, dass der Zufallszahlengenerator eine Hintertür enthält, die auf die NSA zurückzuführen ist. Andere Spuren weisen in die Richtung des britischen Geheimdienstes GHCQ.

Immer neue Schwachstellen

Mit dem nun angekündigten vollständigen Entfernen des Algorithmus hat sich der Hersteller viel Zeit gelassen. Zunächst hatte Juniper in der NetScreen-Software ScreenOS lediglich bestimmte Werte durch andere ersetzt, also quasi das Schloss an der Hintertür ausgetauscht, um die NSA auszusperren. Bald darauf hatten jedoch Angreifer das von Juniper ersetzte Schloss an der Hintertür offenbar wiederum durch ein anderes ersetzt. Als Juniper diese erneute Schwachstelle flickte, kam die wiederholte Kompromittierung des Dual_EC_DRBG ans Licht.

Der Hersteller begründet die späte Reaktion nun unter anderem mit umfangreichen Untersuchungen des Quellcodes von ScreenOS und Junos OS. Unabhängige Überprüfungen wie die des niederländischen Unternehmens FoxIT fanden allerdings schon 2015 Sicherheitslücken bei SSH-Verschlüsselung und beim VPN-Verkehr von Juniper-Netzwerkgeräten, die offenbar die Lücke im Zufallsgenerator Dual_EC_DRBG ausnutzten.

Ohne Angabe von Gründen

Juniper gibt auch jetzt keine Gründe dafür an, dass bisher der als langsam und schlecht bekannte Zufallszahlengenerator Dual_EC_DRBG überhaupt in seinem Betriebssystem ScreenOS eingesetzt wurde. Der Algorithmus ist seit den Veröffentlichungen Edward Snowdens bekannt für seine NSA-Sicherheitslücke, die es ermöglicht, die generierten Zahlen mit hoher Wahrscheinlichkeit zu erraten. Trotzdem wurde er standardisiert und unter anderem auch von RSA-Security eingesetzt. RSA hatte ihn ebenfalls jahrelang als Standardeinstellung in seinen Produkten angeboten. Im Februar 2014 räumte der damalige RSA-Chef Art Coviello ein, dass dies auf Wunsch der US-Regierung geschehen war. Sein Unternehmen hat angeblich 10 Millionen US-Dollar von der NSA dafür bekommen, dass es Dual_EC_DRBG in seine Produkte einbaute. (rop)