Springe zum Hauptinhalt

2010-12: Hintertüren allen Ortes

Im De­zem­ber ka­men Ge­rüch­te auf, in der IP­Sec­-­Im­ple­men­tie­rung von OpenBSD könn­ten Hin­ter­tü­ten ein­ge­baut sein. An­lass hier­für war die Mail ei­nes der Pro­gram­mie­rer, die die­sen Teil 2000 ent­wi­ckelt ha­ben. Er ha­be da­mals auch ei­ne FBI­-­Ab­tei­lung zum Ein­bau von Hin­ter­tü­ren be­ra­ten.

Das wä­re tra­gisch, denn OpenBSD gilt als ei­nes der si­chers­te Un­i­xe. Dar­um, und weil die BS­D­-­Li­zenz – an­ders als die GPL – nicht da­zu ver­pflich­tet, dem Kun­den den Quell­text zu lie­fern, ist es bei Her­stel­lern sehr be­lieb­t. So ba­siert bei­spiels­wei­se die Fire­wall Ge­nu­a­Ga­te des deut­schen Her­stel­lers Ge­nua dar­auf.

Nun ist OpenBSD glü­ck­li­cher­wei­se öf­fent­lich ent­wi­ckelt und al­le Än­de­run­gen sind in ei­nem Ver­si­ons­ver­wal­tung­-­Tool hin­ter­legt. Ein Soft­wa­re­au­dit bracht an­schei­nend kei­ne Hin­wei­se auf ei­ne Hin­ter­tür (sie­he Links­).

„Da ha­ben wir aber noch­mal Glück ge­hab­t!“ (Mon­ty Py­thon, Le­ben des Brain)

We­sent­lich nach­denk­li­cher stim­men mich die Über­le­gun­gen von Mo­k­-­Kong Shen, ob es mög­lich wä­re Hin­ter­tü­ren in die Schlüs­se­ler­zeu­gung von RSA­-­Sch­lüs­seln ein­zu­bau­en. Mo­k­-­Kong Shen zeig­t, dass durch ge­schick­tes Wäh­len ei­nes Fak­tors Schlüs­sel er­zeugt wer­den könn­ten, von de­nen ein Teil be­kannt ist und die sich da­mit we­sent­lich leich­ter bre­chen las­sen. Das „Ge­heim­nis“ wä­re dann der Al­go­rith­mus, mit dem der Fak­tor be­rech­net wird.

Zum Pro­blem wird das, wenn der Quell­text zum Er­zeu­gen der Schlüs­sel nicht öf­fent­lich und da­mit nicht für je­der­mann au­di­tier­bar ist. Und an­schei­nend ver­wen­den (fast) al­le X.509­-­Zer­ti­fi­kats­ausstel­ler (Trust­cen­ter) pro­pri­e­tä­re Soft­ware. Was das für die Ver­läss­lich­keit. Be­zie­hungs­wei­se eben Un­zu­ver­läs­sig­keit, der Trust­cen­ter be­deu­tet ma­le ich mir lie­ber nicht aus.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de