US-Standardbehörde NIST und die Verschlüsselung: Korrekturen, Verbesserungen, Rechtfertigungen

Die US-Behörde National Institute für Standards and Technology hat nach Kritik einen Standard zur Erzeugung von Zufallszahlen getilgt. Eine NIST-Direktorin stellt sich im Interview der Kritik.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 23 Beiträge
Von
  • Monika Ermert

Das US-amerikanische National Institute für Standards and Technology (NIST) hat offiziell einen seiner Standards zur Erzeugung von Zufallszahlen zurückgezogen. Der Dual_Elliptic_Curve Deterministic Random Bit Generator (Dual EC DRBG) wird aus dem Standard SP 900-80 A getilgt und soll nicht mehr verwendet werden, teile die Behörde mit. Zahlreiche Experten hatten dies in der vorgeschalteten Anhörung gefordert. Die NSA habe sich eine Hintertür einbauen lassen, kritisierten namhafte Experten. Im Interview mit heise online verteidigt Donna Dodson, Associate Director des IT Lab und Chief Cybersecurity Advisor des NIST, die Arbeit der Behörde.

Donna Dodson

(Bild: NIST)

Einziges Ziel des NIST seien starke Verschlüsselungsverfahren, sagte Dodson. Es sei nicht verpflichtet, der NSA beim Einbau von Schwachstellen zu unterstützen. Die Cybersecurity-Expertin gelobte die Bereitschaft der Behörde, sich weiter für Konsultationen neuer Standards zu öffnen, auch für abschließende Entscheidungen zu den Details eines Standards.

Das NIST liefert Sicherheitsstandards in der Informationstechnik und anderen Bereichen, die für US-Behörden gelten. Die Verschlüsselungsstandards werden häufig von internationalen Organisationen wie der ISO oder auch der für neue Netzprotokolle verantwortlichen IETF in eigene Standards eingebaut. Das Unternehmen RSA soll den unsicheren Zufallszahlgenerator gegen Geld in seine Verschlüsselungstechnik eingebaut haben.

Die Dual-EC-DRBG-Affäre sorgte für erhebliche Kritik am NIST. Der Behörde wurde unter anderem auch "mathematische Schludrigkeit" vorgeworfen. Die spezifische mathematische Struktur der Hintertür im DEC_RNG lasse nur den Schluss zu, dass das Design nicht zufällig sei, sagte der US-Mathematiker Thomas Hales.

Nicht-Regierungsorganisationenn haben sich mittlerweile mit der Forderung nach mehr Transparenz und eine stärkere Beteiligung – auch der breiten, interessierten Öffentlichkeit – an das NIST gewandt. Am Karfreitag endete die erste Anhörung des NIST zu möglichen Verbesserungen des Standardisierungsprozesses.

Das Center for Democracy and Technology rief das NIST dazu auf, Auswahlkriterien im gesamten Entscheidungsprozess für neue Verschlüsselungsverfahren offenzulegen. Während der NIST-Konsultation zu den eigenen Verfahren ist gab es nur 17 Rückmeldungen.

Siehe dazu das Interview mit Donna Dodson auf c't Hintergrund:

(anw)