Menü
Security

NIST lässt Zufalls-Generatoren neu prüfen

Von
vorlesen Drucken Kommentare lesen 146 Beiträge

Nachdem bekannt wurde, dass die NSA den Standardisierungsprozess des National Institute of Standards and Technology (NIST) gezielt unterwandert hatte, bemüht sich NIST-Direktor Patrick Gallagher jetzt um Schadensbegrenzung. In einer am Dienstag veröffentlichten Mitteilung seines Büros heißt es, das NIST habe schon immer nah mit der NSA kooperiert, da sie einen anerkannten Namen im Bereich der Kryptografie-Forschung habe. Außerdem sei das Institut schon aus rechtlichen Gründen verpflichtet, den Geheimdienst in seine Prozesse zu involvieren. Auf Grund der Presseberichterstattung wurde jedoch für die Standards der Special Publication 800-90 nun die öffentliche Prüfungsphase erneut eröffnet.

Die Publikationen der Reihe 800-90 betreffen Pseudo-Zufallszahlengeneratoren, die als Grundlage fast aller kryptografischen Verfahren unabdingbar sind. Der von NIST 2007 als Dual_EC_DRBG-Standard vorgeschlagene Zufallsalgorithmus enthält eine Backdoor, die nun eindeutig den Machenschaften der NSA zuzuschreiben ist. Die erneute öffentliche Prüfung soll nun sicherzustellen, dass die anderen in Special Publication 800-90 zusammengefassten Methoden nicht ähnliche Probleme aufweisen. Bis zum 6. November können Sicherheitsexperten nun noch Kommentare zu den überarbeiteten Standards abgeben. Eine eher kurze Verlängerung, wenn man bedenkt, dass ähnliche Prüfungen bei anderen Krypto-Standards (etwa bei SHA-3) mitunter mehrere Jahre dauern können.

Im Hinblick auf die klare Ansage von NIST-Chef Gallagher, dass das Institut allerdings auch weiterhin zwingend mit der NSA zusammenarbeiten wird, werden die amerikanischen NIST-Standards wohl in der Zukunft international neu bewertet werden und keine so dominierende Rolle mehr spielen. (fab)