Der „Heartbleed“-Bug und die NSA

Zur laufenden Debatte, ob der „Heartbleed“-Bug nun eine absichtlich gesetzte Hintertür oder doch ein bloßer Designfehler in einer Erweiterung zum TLS/SSL-Protokoll ist, lässt sich nun einiges bereits mit Sicherheit sagen. Von Auswirkung und Machart sieht der Bug nach einer prototypischen NSA-Backdoor aus, die im Rahmen des berüchtigten „Bullrun“-Programms der NSA gezielt in Verschlüsselungsstandards eingeschleust wurde.

Obendrein gibt es auffällige strukturelle Parallelen zwischen „Heartbleed“ und einer nachgewiesenermaßen von der NSA gesetzten „Backdoor“ im selben TSL/SSL-Protokoll. Ein internationales Team akademischer Kryptographen hat diese Hintertür gerade in mühsamer Kleinarbeit analysiert. „Heartbleed“ unterscheidet sich von dieser echten Hintertür allerdings in einem entscheidenden Punkt, der dagegen spricht, dass „Heartbleed“ in dieselbe Kategorie fällt.

Bei der Recherche zum Thema hat der Wiener Sicherheitsforscher Michael Kafka nun quasi nebenbei herausgefunden, dass dieses heimtückische NSA-Programm bereits wesentlich länger läuft, als bis jetzt angenommen wurde.

Mehr dazu in fm4.ORF.at