| nettime's_digestive_system" , thing.net@bbs.thing.net on Sun, 5 Sep 1999 21:55:43 +0200 (CEST) |
[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]
| <nettime> Digest: "Microsoft, the NSA and You" (2 msgs) |
From: Patrice Riemens <patrice@xs4all.nl> Subject: "Microsoft, the NSA and You"- Windows NT backdoored? (fwd) To: nettime-l@bbs.thing.net Date: Sat, 4 Sep 1999 15:39:21 +0200 (CEST) ----- Forwarded message from felipe rodriquez ----- >From discussion-request@hippiesfromhell.org Fri Sep 3 16:54:41 1999 -----Original Message----- From: owner-link@www.anu.edu.au [mailto:owner-link@www.anu.edu.au]On Behalf Of Grant Bayley Sent: Friday, September 03, 1999 6:06 PM To: link@www.anu.edu.au; aussie-isp@aussie.net; 2600@ausmac.net Subject: [LINK] "Microsoft, the NSA and You" - Windows NT backdoored? Synopsis: NSA has a backdoor into Windows NT by means of CryptoAPI, discovered by decompilation of software. Bug only discovered because symbol information in CryptoAPI was not removed in Windows NT Service Pack 5. Comment: A few people wondered how the amendments to Copyright laws would affect release of security vulnerability information in software when the information was gained by means of decompilation. The law specifies that the permission of the copyright holder must have given permission for the information to be released or it is considered a punishable copyright breach. Although the decompilation/information release were not conducted in Australia in this instance, I think this is a very good example of where the copyright holder would likely NOT give permission and we'd likely NOT see this information come to light. Actual story: http://www.cryptonym.com/hottopics/msft-nsa.html Slashdot story: http://209.207.224.40/articles/99/09/03/0940241.shtml Grant _______________________________________________________ Grant Bayley gbayley@ausmac.net - IT Manager, Batey Kazoo (www.kazoo.com.au) - Administrator, The AusMac Archive (www.ausmac.net) - Webmaster/Organiser, 2600 Australia (www.2600.org.au) _______________________________________________________ ======\\\\\\\\------------ Date: Sun, 5 Sep 1999 12:23:56 +0200 To: nettime-l@bbs.thing.net From: cybord <artform@mail.uni-mainz.de> Subject: CCC Presseinfo zu Hintertuer in MS Crypto API ---------FORWARD TO NETTIME------------ Mailing-List: contact chaos-update-help@lists.ccc.de; run by ezmlm Precedence: bulk Reply-To: chaos-update-owner@lists.ccc.de Delivered-To: mailing list chaos-update@lists.ccc.de Delivered-To: moderator for chaos-update@lists.ccc.de Mime-Version: 1.0 Date: Fri, 3 Sep 1999 15:06:21 +0200 To: chaos-update@lists.ccc.de From: Andy Mueller-Maguhn <andy@ccc.de> Subject: CCC Presseinfo zu Hintertuer in MS Crypto API Presseinformation des Chaos Computer Club 03. September 1999 Microsoft-Betriebssysteme mit eingebauter Hintert¸r: Sichere Verschl¸sselung mit Windows in Frage gestellt Durch detaillierte Untersuchung des Betriebssystem Windows NT durch einen amerikanischen Sicherheitssoftware-Entwickler konnte eine massive Software-Hintert¸r, die offenbar auf den US-Geheimdienst NSA zur¸ckgeht in den Betriebssystemen Windows 95, 98, NT sowie Windows 2000 (beta) entdeckt werden. Diese hat nachhaltige Auswirkungen auf die Sicherheit der Microsoft-Betriebssysteme. Nachdem die Bestrebungen des amerikanischen Geheimdienstes NSA (National Security Agency) zur weltweiten Kommunikationskontrolle mit Hilfe international einheitlichen Regulierung von Verschl¸sselungsverfahren herbe R¸ckschl”ge erlitten hat, wird nun offenbar versucht dasselbe Ziel durch Einbau von Hintert¸ren in die marktdominierenden amerikanischen Softwareprodukte zu erreichen. Die von Microsoft f¸r Programmierer zur Verf¸gung gestellte Anwendungs- schnittstelle f¸r Verschl¸sselungsfunktionen, die sog. "Crypto API" ist gegen das Einspielen und Ver”ndern von Verschl¸sselungsmodulen im Betriebssystem normalerweise gesch¸tzt. Externe Programmierer oder Unternehmen, die Verschl¸sselungsfunktionen f¸r die Microsoft- >Betriebssysteme zur Verf¸gung stellen, m¸ssen diese Module zun”chst von Microsoft signieren lassen, bevor sie in der Crypto API verf¸gbar sind. Bei der Integration von externen Verschl¸sselungsmodulen werden diese von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA Key gepr¸ft. Zum Zwecke dieser Pr¸fung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Pr¸fmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem amerikanischen Geheimdienst NSA (National Security Agency) zugeh–rig identifiziert werden; er wird im Programm mit als "NSAKEY" bezeichnet. Aufbauend auf dieser Erkenntnis muþ man es als unm–glich bezeichnen, auf der Microsoft Crypto API aufbauend sichere Verschl¸sselung zu betreiben. Denn durch Signierung von der NSA produzierter unsicherer Verschl¸sselungsfunktionen ist es m–glich, eigentlich sichere Verschl¸sselungsmodule zu ¸berspielen. F¸r den Anwender bedeutet dies, daþ er sich nicht auf die Sicherheit etwaiger Softwareprodukte verlassen kann, selbst wenn diese durch –ffentliche Tests und Dokumentation f¸r sicher befunden wurden; denn diese k–nnen l”ngst durch manipulierte Versionen der NSA ersetzt worden sein. "Der wirtschaftliche und gesellschaftliche Schaden durch derartige Hintert¸ren in amerikanischen Softwareprodukten ist kaum absch”tzbar. Es kann einfach nicht angehen, daþ die deutsche Bundesregierung auf der einen Seite autonome Verschl¸sselung f–rdert, auf der anderen Seite sich selbst auf derartig unsichere Betriebssysteme verl”sst" kommertiert CCC-Sprecher Andy M¸ller-Maguhn den Vorfall; "selbst in sensiblen Bereichen des Bundestages und der Regierung wird Windows eingesetzt". Club-Sprecher Frank Rieger forderte in dem Zusammenhang eine europ”ische Open-Source Software-Initiative f¸r Sicherheits-Software ohne Hintert¸ren. Der Chaos Computer Club fordert die Gesetzgeber zum Schutz der Allgemeinheit auf, eine Deklarationspflicht f¸r Hintert¸ren bei Software einzuf¸hren. Dies gilt insbesondere f¸r Software aus L”ndern, in denen die Hersteller per Gesetz zum Einbau entsprechender Hintert¸ren bzw. Sicherheitseinschr”nkungen verpflichtet werden k–nnen. "Die Benutzer sollten nicht l”nger mit scheinbaren Sicherheitsfunktionen get”uscht werden." sagte CCC-Sprecher Frank Rieger. Die Erkenntnisse des amerikanischen Hintert¸r-Entdeckers gehen sogar noch weiter; auch Angriffsm–glichkeiten durch Ersetzung des NSA-Keys mit einem beliebigen anderen sind vom ihm beschrieben. Quellen im Netz: Original-Dokumentation des Entdeckers Andrew Fernandes http://www.cryptonym.com/hottopics/msft-nsa.html Grundlagenpapier zum Finden von Schl¸sseln in Datenmengen von Nicko van Someren und Adi Shamir http://www.ncipher.com/products/files/papers/anguilla/keyhide2.pdf National Security Agency http://www.nsa.gov Gesetzliche Grundlagen der Schw”chung von US-Sicherheitsprodukten f¸r >den Export http://www.epic.org/crypto/export_controls --------------------------------------------------------------------- To unsubscribe, e-mail: chaos-update-unsubscribe@lists.ccc.de For additional commands, e-mail: chaos-update-help@lists.ccc.de # distributed via <nettime>: no commercial use without permission # <nettime> is a moderated mailing list for net criticism, # collaborative text filtering and cultural politics of the nets # more info: majordomo@bbs.thing.net and "info nettime-l" in the msg body # archive: http://www.nettime.org contact: nettime@bbs.thing.net