Microsoft: „Keine Hintertür in Windows eingebaut“

Firma behauptet, keinen Schlüssel an Geheimdienst geliefert zu haben

Microsoft (Börse Frankfurt: MSF) hat Angaben, wonach seine Betriebssysteme Windows 95, 98, NT sowie die Betaversion von Windows 2000 eine Hintertür für den US-Geheimdienst National Security Agency (NSA) enthalten würden, zurückgewiesen. Diese Behauptung hatte am Freitag unter anderem der Chaos Computer Club (CCC) unter Berufung auf den Entwickler Andrew Fernandes aufgestellt.

Der Windows-NT-Security-Produktmanager Scott Culp nannte die Affäre einen „Sturm im Wasserglas“: Die vermeintliche Hintertür – ein Schlüssel mit der Bezeichnung „NSAKEY“ – diene lediglich dazu, die vom Wirtschaftsministerium geforderte digitale Signatur von Unternehmen zu überprüfen. „Sie ist da, weil wir damit die Export-Kontrollbestimmungen einhalten, die die NSA überwacht“, erklärte Culp.

Er räumte ein, Microsoft habe sich bei der Namensgebung ungeschickt verhalten: „Es ist ein wirklich blöder Name“, sagte Culp, „wir werden ihn anschließend wohl ändern“. Microsoft habe den Schlüssel, also den Zugang zu den Betriebssystemen, jedoch nicht an den Geheimdienst weitergegeben: „Das ist absolut gegen unsere Geschäftsbedingungen“, beteuerte Culp.

Microsoft hatte in seinem Dementi zudem erklärt, Fernandes Firma Cryptonym biete eine Software (www.cryptonym.com/…) zum Schließen der vermeintlichen Hintertür an und verdiene so ihr Geld. Die Software, derzeit nur für Windows NT und 2000 erhältlich, ist jedoch kostenlos zu haben.

Der renommierte Sicherheitsexperte Richard Smith, Chef von Phar Lap Software, bewertete die Sicherheitslücke allerdings als „eher klein“ und konstatierte: „Wie in den meisten Fällen ist dort, wo Rauch ist, auch Feuer. Aber in diesem Fall ist das Feuer nicht sehr heiß.“

Der CCC, beziehungsweise Fernandes, hatten erklärt, daß die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sogenannte „Crypto API“, gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt sei. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft (Börse Frankfurt: MSF) signieren lassen, bevor sie in der Crypto API verfügbar sind.

Bei der Integration von externen Verschlüsselungsmodulen werden diese laut CCC von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA-Key geprüft. Zum Zweck dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem Geheimdienst NSA zugehörig identifiziert werden. Er wird im Programm als „NSAKEY“ bezeichnet.

Deswegen sei eine sichere Verschlüsselung mit der Microsoft Crypto API nicht möglich, stell der CCC fest.

Kontakt: Microsoft, Tel.: 089/31760

Themenseiten: Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft: „Keine Hintertür in Windows eingebaut“

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *