Neue Veröffentlichungen aus den Unterlagen von Edward Snowden weisen darauf hin, dass der US-Geheimdienst NSA zehn Millionen US-Dollar an RSA Security, einen der wichtigsten US-Anbieter von Sicherheitssoftware, gezahlt hat. Demnach sei das Geld dafür bestimmt gewesen, dass das Security-Unternehmen den umstrittenen Zufallsgenerator Dual_EC_DRBG in die Software BSAFE standardmäßig implementiert. So sollte eine Krypto-Backdoor eingebaut werden, wie die Nachrichtenagentur Reuters nun berichtet. Die NSA wollte den Bericht nicht kommentieren.

Auch die RSA wollte keinen Kommentar abgeben, ließ sich aber dennoch zu einer Stellungnahme verleiten: “RSA handelt stets im besten Interesse seiner Kunden und würde unter keinen Umständen jemals eine Hintertür in seine Produkte einbauen oder die Verwendung einer solchen erlauben. Die Entscheidung über die Verwendung von Funktionen und Features in unseren Produkten liegt ausschließlich bei uns.“ BSAFE nutzt Dual_EC_DRBG nach eigenen Angaben bislang vor allem, um kryptographische Maßnahmen durchzuführen. Dazu zählt beispielsweise die Erstellung eines RSA-Schlüssels. RSA Security gibt zudem an, dass BSAFE in Tausenden von kommerziellen Produkten eingesetzt wird.

Darüber hinaus wurde bekannt, dass die NSA den Zufallsgenerator komplett selbst entwickelt hat. Bislang war nur über eine Beteiligung an der Entwicklung durch die Geheimbehörde spekuliert worden. Im September 2013 hatte noch die US-Behörde NIST vor der Verwendung des Dual_EC_DRBG gewarnt, RSA Security folgte wenig später dieser Einschätzung und warnte selbst vor dem Zufallsgenerator. Bereits seit 2007 spekulierte die Kryptographen-Szene darüber, ob Dual_EC_DRBG eine Hintertür darstellt.

Erst vergangene Woche hatte die Kommission zur Überprüfung der Überwachung durch die NSA, eingesetzt von Barack Obama, einen ersten Bericht vorgelegt. Über den Zufallsgenerator verliert das Werk aber kein Wort. Viel mehr fordert es die NSA auf, künftig alle Versuche zu unterlassen, Verschlüsselungstechniken zu umgehen. (roh)