Microsoft (Börse Frankfurt: MSF) hat Angaben, wonach seine Betriebssysteme Windows 95, 98, NT sowie die Betaversion von Windows 2000 eine Hintertür für den US-Geheimdienst National Security Agency (NSA) enthalten würden, zurückgewiesen. Diese Behauptung hatte am Freitag unter anderem der Chaos Computer Club (CCC) unter Berufung auf den Entwickler Andrew Fernandes aufgestellt.
Der Windows-NT-Security-Produktmanager Scott Culp nannte die Affäre einen „Sturm im Wasserglas“: Die vermeintliche Hintertür – ein Schlüssel mit der Bezeichnung „NSAKEY“ – diene lediglich dazu, die vom Wirtschaftsministerium geforderte digitale Signatur von Unternehmen zu überprüfen. „Sie ist da, weil wir damit die Export-Kontrollbestimmungen einhalten, die die NSA überwacht“, erklärte Culp.
Er räumte ein, Microsoft habe sich bei der Namensgebung ungeschickt verhalten: „Es ist ein wirklich blöder Name“, sagte Culp, „wir werden ihn anschließend wohl ändern“. Microsoft habe den Schlüssel, also den Zugang zu den Betriebssystemen, jedoch nicht an den Geheimdienst weitergegeben: „Das ist absolut gegen unsere Geschäftsbedingungen“, beteuerte Culp.
Microsoft hatte in seinem Dementi zudem erklärt, Fernandes Firma Cryptonym biete eine Software (www.cryptonym.com/…) zum Schließen der vermeintlichen Hintertür an und verdiene so ihr Geld. Die Software, derzeit nur für Windows NT und 2000 erhältlich, ist jedoch kostenlos zu haben.
Der renommierte Sicherheitsexperte Richard Smith, Chef von Phar Lap Software, bewertete die Sicherheitslücke allerdings als „eher klein“ und konstatierte: „Wie in den meisten Fällen ist dort, wo Rauch ist, auch Feuer. Aber in diesem Fall ist das Feuer nicht sehr heiß.“
Der CCC, beziehungsweise Fernandes, hatten erklärt, daß die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sogenannte „Crypto API“, gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt sei. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft (Börse Frankfurt: MSF) signieren lassen, bevor sie in der Crypto API verfügbar sind.
Bei der Integration von externen Verschlüsselungsmodulen werden diese laut CCC von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA-Key geprüft. Zum Zweck dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem Geheimdienst NSA zugehörig identifiziert werden. Er wird im Programm als „NSAKEY“ bezeichnet.
Deswegen sei eine sichere Verschlüsselung mit der Microsoft Crypto API nicht möglich, stell der CCC fest.
Kontakt: Microsoft, Tel.: 089/31760
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…