Microsoft (Börse Frankfurt: MSF) hat Angaben, wonach seine Betriebssysteme Windows 95, 98, NT sowie die Betaversion von Windows 2000 eine Hintertür für den US-Geheimdienst National Security Agency (NSA) enthalten würden, zurückgewiesen. Diese Behauptung hatte am Freitag unter anderem der Chaos Computer Club (CCC) unter Berufung auf den Entwickler Andrew Fernandes aufgestellt.
Der Windows-NT-Security-Produktmanager Scott Culp nannte die Affäre einen „Sturm im Wasserglas“: Die vermeintliche Hintertür – ein Schlüssel mit der Bezeichnung „NSAKEY“ – diene lediglich dazu, die vom Wirtschaftsministerium geforderte digitale Signatur von Unternehmen zu überprüfen. „Sie ist da, weil wir damit die Export-Kontrollbestimmungen einhalten, die die NSA überwacht“, erklärte Culp.
Er räumte ein, Microsoft habe sich bei der Namensgebung ungeschickt verhalten: „Es ist ein wirklich blöder Name“, sagte Culp, „wir werden ihn anschließend wohl ändern“. Microsoft habe den Schlüssel, also den Zugang zu den Betriebssystemen, jedoch nicht an den Geheimdienst weitergegeben: „Das ist absolut gegen unsere Geschäftsbedingungen“, beteuerte Culp.
Microsoft hatte in seinem Dementi zudem erklärt, Fernandes Firma Cryptonym biete eine Software (www.cryptonym.com/…) zum Schließen der vermeintlichen Hintertür an und verdiene so ihr Geld. Die Software, derzeit nur für Windows NT und 2000 erhältlich, ist jedoch kostenlos zu haben.
Der renommierte Sicherheitsexperte Richard Smith, Chef von Phar Lap Software, bewertete die Sicherheitslücke allerdings als „eher klein“ und konstatierte: „Wie in den meisten Fällen ist dort, wo Rauch ist, auch Feuer. Aber in diesem Fall ist das Feuer nicht sehr heiß.“
Der CCC, beziehungsweise Fernandes, hatten erklärt, daß die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sogenannte „Crypto API“, gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt sei. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft (Börse Frankfurt: MSF) signieren lassen, bevor sie in der Crypto API verfügbar sind.
Bei der Integration von externen Verschlüsselungsmodulen werden diese laut CCC von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA-Key geprüft. Zum Zweck dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem Geheimdienst NSA zugehörig identifiziert werden. Er wird im Programm als „NSAKEY“ bezeichnet.
Deswegen sei eine sichere Verschlüsselung mit der Microsoft Crypto API nicht möglich, stell der CCC fest.
Kontakt: Microsoft, Tel.: 089/31760
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…