Unter dem Kürzel Dual_EC_DRBG ist ein Zufallszahlengenerator bekannt, der angeblich von der NSA entwickelt und gegen eine Zahlung von US$10 Millionen von RSA in eigene Sicherheitsprodukte integriert wurde – mutmaßlich inklusive einer Hintertür für die Schnüffler. Das Patent für den Algorithmus hat die Firma Certicom, eine Blackberry-Tochter. Und Blackberry selbst setzt den umstrittenen Dual_EC_DRBG auch in eigenen Produkten ein.
Die ganze Sache enthält natürlich viele Fragezeichen, so ist bis jetzt nicht 100% sicher, dass es eine Hintertür in Dual_EC_DRBG gibt und wenn es sie gibt, wer sie nutzen kann. Ebenfalls sagt eine Lizenzierung des Algorithmus nichts darüber aus, ob er wirklich in Produkten eingesetzt wird und ob diese dadurch angreifbar werden – im Zuge der ganzen Enthüllungen von Edward Snowden verlieren solche Fragezeichen aber durchaus an Bedeutung.
Bei eletroniknet.de hat man sich mal angeschaut, wo überall BlackBerry selbst den Dual_EC_DRBG einsetzt und diese mal aufgelistet:
1) „BlackBerry Algorithm Library“ für den sogenannten Secure Work Space (BBSWS): BBSWS kommt im Kontext mit iOS- und Android-Geräten zum Einsatz, wenn diese zusammen mit BlackBerry-Mobilgeräte-Management-Lösungen eingesetzt werden.
2) „BlackBerry Cryptographic Algorithm Library“: Eine Sammlung von Verschlüsselungsalgorithmen, welche auf Geräten mit dem Betriebssystem BlackBerry 10 und bei Komponenten des BlackBerry Enterprise Service 10 zum Einsatz kommen.
3) „BlackBerry Tablet Cryptographic Library“: Hierbei handelt es sich um Software-Module, die Verschlüsselungs-Funktionen auf BlackBerry Tablets bereistellen.
Kurz: In sämtlichen aktuellen BlackBerry-Produkten steckt mutmaßlich eine NSA-Hintertür. Gerade für ein Unternehmen wie BlackBerry, das sich immer durch die besonders hohe Sicherheit von den Mitbewerben absetzen wollte nicht gut, schon gar nicht wo es derzeit sowieso einfach nicht mehr so richtig rund laufen will.
Aber Blackberry ist ja nicht alleine, auf der Website des NIST (National Institute of Standards and Technology) findet sich eine lange Liste an Lizenznehmern: Intel, Apple, Microsoft, IBM, Cisco… Nur Cisco hat sich bisher geäußert und bestritten, dass dieser Algorithmus in verkauften Produkten eingesetzt würde. Bei den anderen Herstellern weiß man nur, dass das fragliche Stück Software in den Produkten steckt, zum Beispiel im CoreCrypto-Modul aller A-Prozessoren von Apple, aber auch in den Intel Core-i Prozessoren. Ob der Dual_EC_DRBG allerdings auch genutzt wird wissen nur die jeweiligen Hersteller. Und es ist bis jetzt auch noch nicht gesichert, dass Produkte, die den Generator einsetzen auch wirklich direkt eine Hintertür haben.
Für jedes Unternehmen ist aber heute schon alleine der Verdacht eine mögliche Hintertür für Geheimdienste in den eigenen Produkten zu haben äußerst unangenehm.