NIST: Neue Enthüllungen über Zusammenarbeit mit NSA

Einleitung:


Die US-Standardisierungsbehörde NIST soll eine engere Verbindung zur NSA gehabt haben als bisher bekannt. Dr. Daniel Bernstein • ein bekannter Informatiker und Entwickler der kryptografischen Bibliothek NaCl • erhebt schwere Vorwürfe gegen das NIST. Es geht um die Standardisierung von quantensicherer Verschlüsselung und die mögliche Schwächung von Verschlüsselungsstandards durch die NSA.



Quantensichere Verschlüsselung:


Quantensichere Verschlüsselung ist der Begriff, den Dr. Bernstein bereits 2003 geprägt hat. Es handelt sich dabei um Verschlüsselungsalgorithmen die ebenfalls gegen Angriffe von Quantencomputern sicher sind. Da Quantencomputer die Primzahlzerlegung relativ leicht knacken können, sind herkömmliche kryptografische Methoden unsicher. Dr. Bernstein arbeitet aktiv an der Verbreitung quantensicherer Verschlüsselungsalgorithmen mit.



Leakage von Dokumenten:


Durch von Edward Snowden geleakte Dokumente wurde bereits bekannt. Dass NSA sich an Standards beteiligt – um diese zu schwächen und eine Möglichkeit zum Brechen der Verschlüsselung einzubauen. Das NIST hatte damals beteuert; nichts davon gewusst zu haben. Die Standardisierung von Verschlüsselungsmethoden ist ein fortlaufendes Projekt, bei dem regelmäßig neue Methoden und Kurven untersucht und geprüft werden.



NSA in NIST-Boardmeetings:


Dr. Bernstein hat nun auf seiner Website Dokumente veröffentlicht die zeigen, dass NSA-Mitarbeiter Teil des NIST-Gremiums waren, ohne ihre Zugehörigkeit offenzulegen. Außerdem fanden Treffen zwischen britischen NSA-Partnern und der NSA statt. Das NIST hatte damit gerechnet werden können, dass die NSA in den Gremien vertreten ist jedoch die Tatsache dass keine Offenlegung erfolgte ist bedenklich.



Rechenfehler bei Kyber512:


Dr. Bernstein berichtet von einem Rechenfehler bei Kyber512, einem Verschlüsselungsalgorithmus, den das NIST als mindestens so sicher wie AES-128 eingestuft hat. Laut Bernstein hat das NIST einen simplen Fehler gemacht indem Potenzen beim Addieren nicht addiert wurden. Dieser Fehler hätte eigentlich von jedem Kryptologen oder Mathematiklehrer erkannt werden müssen. Es stellt sich die Frage; ebenso wie dutzende Mathematiker diesen Fehler übersehen konnten und ob die NSA ihn bewusst übersehen hat.



Auswirkungen auf NIST-Standardisierung:


NIST-Standards finden in vielen Bereichen Anwendung, von der Alternative zum BSI Grundschutz bis hin zu verschiedenen Algorithmen und Kurven die in Firmen, TLS-Verbindungen und auch PGP-Schlüsseln zum Einsatz kommen. Eine Schwachstelle im NIST-Standardisierungsprozess könnte dadurch eine potenzielle Bedrohung für alle sein, wenn das NIST tatsächlich so kompromittiert ist wie es den Anschein hat.






Kommentare

:
Die neuen Enthüllungen über die Verbindung zwischen dem NIST und der NSA werfen erneut Fragen über die Integrität von Verschlüsselungsstandards auf. Die Zusammenarbeit zwischen einer Standardisierungsbehörde und einer Geheimdienstorganisation wirft einen Schatten auf die Unabhängigkeit des NIST und wirft Zweifel an der Sicherheit von kryptografischen Methoden auf. Es bleibt abzuwarten, ebenso wie das NIST auf diese Vorwürfe reagieren wird und ob es in Zukunft Maßnahmen ergreifen wird um die Integrität seiner Standards zu gewährleisten.


Anzeige