RSA-Verschlüsselung NSA soll Krypto-Firma für Hintertür gezahlt haben

Angriff auf den Schutzraum: Die NSA hat einen Verschlüsselungsstandard sabotiert - und soll der verantwortlichen Firma dafür Geld gezahlt haben. Das Unternehmen wehrt sich gegen den Bericht.

Damit der amerikanische Geheimdienst NSA Verschlüsselungsverfahren knacken kann, soll er zehn Millionen US-Dollar an die Sicherheitsfirma RSA gezahlt haben. Das berichtet die Nachrichtenagentur Reuters und beruft sich auf Material aus dem Fundus des Whistleblowers Edward Snowden.

Bereits im September hatte die New York Times aus Snowden-Dokumenten zitiert, wonach der entsprechende Verschlüsselungsstandard von der NSA sabotiert wurde. Der Reuters-Bericht wirft nun RSA vor, dafür Geld angenommen zu haben. RSA wehrt sich gegen den Bericht.

Verschlüsselungen zu knacken oder zu sabotieren, ist eine der Top-Prioritäten der NSA. Denn noch immer gilt: Wer verschlüsselt kommuniziert, dessen Nachrichten sind für Außenstehende nicht zu lesen. Die NSA hingegen würde auch gerne an dieser Stelle mitlesen können.

Damit die Nachrichten unlesbar bleiben, wird ein kryptografisches Verfahren angewendet, bei dem alles dem Zufall überlassen sein muss - und genau an dieser Stelle setzt der NSA-Deal an. Für zehn Millionen US-Dollar soll RSA zugestimmt haben, einen von der NSA entwickelten Generator für Zufallszahlen in ihr Produkt mit dem Namen BSafe zu integrieren. BSafe ist laut Eigenaussage des Unternehmens in "Tausenden kommerziellen Anwendungen" integriert. Sind die Zahlen nicht zufällig, können sie berechnet werden - die NSA kann dann die Verschlüsselung knacken und Nachrichten mitlesen.

Die RSA bestreitet den Reuters-Bericht: "Wir lehnen die Behauptungen kategorisch ab", heißt es in einem Blogbeitrag. Die RSA arbeite schon seit Jahren mit der NSA zusammen und habe dies immer öffentlich gemacht.

Für RSA steht nun die Glaubwürdigkeit zur Debatte. Sollte sich der Bericht bestätigen, würden zukünftige Produkte des Unternehmens mit einer Skepsis betrachtet werden. Der Krypto-Experte Mikko Hypponen hat etwa angekündigt, der jährlichen Sicherheitskonferenz der RSA fernzubleiben, sollten die Vorwürfe zustimmen.

Bereits 2007 waren erste Befürchtungen aufgekommen, dass der entsprechende NSA-Zahlengenerator problematisch sein könnte.