Der Spie­gel hat ges­tern ein neues Puz­zle­stück zum Data­gate hin­zu­ge­fügt, wir berich­te­ten im Bei­trag Android, Black­Berry, iOS sind von der NSA und dem GCHQ geknackt — Wie geht sichere Enter­prise Mobi­lity ab jetzt? Beson­ders inter­es­sant und wich­tig ist die Infor­ma­tion, dass die NSA Zugriff auf über den Black­Berry Enter­prise Ser­ver neh­men kann, wie der Screen­shot zu die­sem Bei­trag doku­men­tiert. Die­ser ist dem aktu­el­len Spie­gel ent­nom­men, der wie­der ein­mal mehr als lesens­wert ist.

Uns hat diese Infor­ma­tion in kei­ner Weise über­rascht, regel­mä­ßige Leser des Pre­tioso Blog wis­sen, dass wir Black­Berry für das unsi­cherste und am stärks­ten kom­pro­mit­tierte Smartphone-​System hal­ten. In vie­len Bei­trä­gen haben wir vor dem Ein­satz von Black­Berry gewarnt, als Ein­stieg bie­tet sich der Bei­trag Black­Berry — Ist das eine kana­di­sche Firma oder eine US-​Firma? an, der ver­deut­licht, dass die von Black­Berry in den USA ent­wi­ckel­ten Tech­no­lo­gien unein­ge­schränkt der US-​Exportkontrolle unter­lie­gen und vor die­sem Hin­ter­grund die Ver­schlüs­se­lung als kom­pro­mit­tiert anzu­se­hen ist.

Diese Fak­ten wer­den auch nicht durch die regel­mä­ßi­gen Nebel­ker­zen von Black­Berry aus der Welt geschafft, die immer wie­der ver­si­chern, dass es keine Back­doors in der Lösung gebe. Hier scheint es sich um ein seman­ti­sches Pro­blem zu han­deln – im Kern ist es egal wie man die von Black­Berry im Rah­men der US-​Gesetze geschul­dete Offen­le­gung der Ver­schlüs­se­lung nennt.

Wie tief die Ver­stri­ckung von Black­Berry mit der NSA ist, zeigt die Kry­to­gra­phie auf der Basis ellip­ti­scher Kur­ven. Bruce Schneier, der welt­weit füh­rende Kryptographie-​Experte hat gerade erst am Frei­tag aus­drück­lich vor dem Ein­satz die­ser Ver­schlüs­se­lungs­tech­no­lo­gie gewarnt:

Pre­fer con­ven­tio­nal discrete-​log-​based sys­tems over elliptic-​curve sys­tems; the lat­ter have con­stants that the NSA influ­en­ces when they can.

Im Klar­text – Ver­schlüs­se­lung auf der Basis ellip­ti­scher Kur­ven ist durch die NSA kom­pro­mit­tiert, was man unschwer sogar auf Wiki­pe­dia nach­le­sen kann:

Laut NSA sind Imple­men­tie­run­gen mit Patent­pro­ble­men kon­fron­tiert. Vor allem die kana­di­sche Cer­ti­com Inc. besitzt dem­nach mehr als 130 Patente, die für ECC oder Public-​Key-​Kryptographie benö­tigt wer­den. 26 davon wur­den von der NSA lizen­ziert (Anmer­kung KD: Falsch, alle) um ECC-​Verfahren zu Zwe­cken natio­na­ler Sicher­heit zu implementieren.

Die NSA lizen­siert keine Tech­no­lo­gie, die ihr nicht offen­ge­legt ist und die sie nicht beein­flus­sen kann. Die NSA macht hier­aus auch kein Geheim­nis, alle Details sind nach­zu­le­sen auf der Web­seite der NSA im Bei­trag The Case for Ellip­tic Curve Cryp­to­gra­phy:

As a way of clea­ring the way for the imple­men­ta­tion of ellip­tic cur­ves to pro­tect US and allied govern­ment infor­ma­tion, the Natio­nal Secu­rity Agency purchased from Cer­ti­com a license that covers all of their intel­lec­tual pro­perty in a restric­ted field of use.

Was hat all dies nun mit Black­Berry zu tun?

Ganz ein­fach! Die Firma Cer­ti­com, die der NSA – wie von der NSA oben selbst beschrie­ben – die kom­plette Tech­no­lo­gie der ellip­ti­schen Kur­ven zur Ver­fü­gung stellt, ist ein BlackBerry-​Unternehmen! Jeder kann dies auf der Web­seite nachlesen:

With a wide range of award-​winning soft­ware and hard­ware solu­ti­ons, Cer­ti­com, a wholly owned sub­si­di­ary of Rese­arch In Motion Limited (RIM) (Nas­daq: RIMM; TSX: RIM), pro­tects bil­li­ons of dol­lars worth of con­tent and mil­li­ons of devices around the world.

Für nicht mit den Details ver­traute Leser: Rese­arch in Motion (RIM) ist der frü­here Fir­men­name von Black­Berry, bei Cer­ti­com hat man noch nicht die Ände­rung auf der Web­seite nach­voll­zo­gen. Wenn man nun noch berück­sich­tigt, dass Black­Berry 10 ganz zen­tral auf ellip­ti­schen Kur­ven basiert, was Sie auf der Black­Berry Deve­l­oper Seite im Bei­trag Ellip­tic Curve Cryp­to­gra­phy nach­le­sen kön­nen, wird das Bild rund.

Ich glaube, dass die NSA nur wenige bes­sere Freunde als Black­Berry hat. Des­halb emp­fehle ich jedem Leser: Fin­ger weg von Black­Berry 10. Denn wie sagte es Mike Laza­ri­dis ganz ehr­lich als er 2011 von der BBC in die Enge getrie­ben wurde:

This is a natio­nal secu­rity issue, turn that off!

Und genau des­halb gehört Black­Berry in keine sicher­heits­be­wusste Firma und noch viel weni­ger in die Hände deut­scher Geheim­nis­trä­ger im öffent­li­chen Bereich, was wir hier im Blog auch schon mehr­fach bespro­chen wurde, zuletzt im Bei­trag Black­Berry 10 für Mer­kel und die Regie­rung? Besser nicht!

Dies­be­züg­lich bin ich aber sehr sicher, dass die her­vor­ra­gen­den Exper­ten im BSI die Infor­ma­tio­nen der letz­ten Wochen sehr sorg­fäl­tig ana­ly­siert haben und unsere Poli­ti­ker genau des­halb vor Black­Berry schüt­zen wer­den und das sichere Simko 3 ein­füh­ren, wel­ches mit datomo Mobile Iden­tity Manage­ment ein siche­res Manage­ment des ent­hal­te­nen Hardware-​Krypto-​Elementes ermöglicht.

Wenn Sie andere Fra­gen zu mobi­ler Sicher­heit haben, fra­gen Sie uns bitte. Wir bera­ten viele Orga­ni­sa­tio­nen und Unter­neh­men zu allen The­men rund um die Mobi­lity mit einem star­ken Fokus auf die ver­bun­de­nen Sicher­heits­fra­gen. Wir freuen uns, wenn wir auch Sie zukünf­tig bera­ten dürfen.

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“

• • 
    iOS 7 und Jailbreak-​Erkennung von Apps — Das Update der App Spar­kasse+ funk­tio­niert nicht automatisch

Weiterführende Links

• Originalmeldung