Der Spiegel hat gestern ein neues Puzzlestück zum Datagate hinzugefügt, wir berichteten im Beitrag Android, BlackBerry, iOS sind von der NSA und dem GCHQ geknackt — Wie geht sichere Enterprise Mobility ab jetzt? Besonders interessant und wichtig ist die Information, dass die NSA Zugriff auf über den BlackBerry Enterprise Server nehmen kann, wie der Screenshot zu diesem Beitrag dokumentiert. Dieser ist dem aktuellen Spiegel entnommen, der wieder einmal mehr als lesenswert ist.
Uns hat diese Information in keiner Weise überrascht, regelmäßige Leser des Pretioso Blog wissen, dass wir BlackBerry für das unsicherste und am stärksten kompromittierte Smartphone-System halten. In vielen Beiträgen haben wir vor dem Einsatz von BlackBerry gewarnt, als Einstieg bietet sich der Beitrag BlackBerry — Ist das eine kanadische Firma oder eine US-Firma? an, der verdeutlicht, dass die von BlackBerry in den USA entwickelten Technologien uneingeschränkt der US-Exportkontrolle unterliegen und vor diesem Hintergrund die Verschlüsselung als kompromittiert anzusehen ist.
Diese Fakten werden auch nicht durch die regelmäßigen Nebelkerzen von BlackBerry aus der Welt geschafft, die immer wieder versichern, dass es keine Backdoors in der Lösung gebe. Hier scheint es sich um ein semantisches Problem zu handeln – im Kern ist es egal wie man die von BlackBerry im Rahmen der US-Gesetze geschuldete Offenlegung der Verschlüsselung nennt.
Wie tief die Verstrickung von BlackBerry mit der NSA ist, zeigt die Krytographie auf der Basis elliptischer Kurven. Bruce Schneier, der weltweit führende Kryptographie-Experte hat gerade erst am Freitag ausdrücklich vor dem Einsatz dieser Verschlüsselungstechnologie gewarnt:
Prefer conventional discrete-log-based systems over elliptic-curve systems; the latter have constants that the NSA influences when they can.
Im Klartext – Verschlüsselung auf der Basis elliptischer Kurven ist durch die NSA kompromittiert, was man unschwer sogar auf Wikipedia nachlesen kann:
Laut NSA sind Implementierungen mit Patentproblemen konfrontiert. Vor allem die kanadische Certicom Inc. besitzt demnach mehr als 130 Patente, die für ECC oder Public-Key-Kryptographie benötigt werden. 26 davon wurden von der NSA lizenziert (Anmerkung KD: Falsch, alle) um ECC-Verfahren zu Zwecken nationaler Sicherheit zu implementieren.
Die NSA lizensiert keine Technologie, die ihr nicht offengelegt ist und die sie nicht beeinflussen kann. Die NSA macht hieraus auch kein Geheimnis, alle Details sind nachzulesen auf der Webseite der NSA im Beitrag The Case for Elliptic Curve Cryptography:
As a way of clearing the way for the implementation of elliptic curves to protect US and allied government information, the National Security Agency purchased from Certicom a license that covers all of their intellectual property in a restricted field of use.
Was hat all dies nun mit BlackBerry zu tun?
Ganz einfach! Die Firma Certicom, die der NSA – wie von der NSA oben selbst beschrieben – die komplette Technologie der elliptischen Kurven zur Verfügung stellt, ist ein BlackBerry-Unternehmen! Jeder kann dies auf der Webseite nachlesen:
With a wide range of award-winning software and hardware solutions, Certicom, a wholly owned subsidiary of Research In Motion Limited (RIM) (Nasdaq: RIMM; TSX: RIM), protects billions of dollars worth of content and millions of devices around the world.
Für nicht mit den Details vertraute Leser: Research in Motion (RIM) ist der frühere Firmenname von BlackBerry, bei Certicom hat man noch nicht die Änderung auf der Webseite nachvollzogen. Wenn man nun noch berücksichtigt, dass BlackBerry 10 ganz zentral auf elliptischen Kurven basiert, was Sie auf der BlackBerry Developer Seite im Beitrag Elliptic Curve Cryptography nachlesen können, wird das Bild rund.
Ich glaube, dass die NSA nur wenige bessere Freunde als BlackBerry hat. Deshalb empfehle ich jedem Leser: Finger weg von BlackBerry 10. Denn wie sagte es Mike Lazaridis ganz ehrlich als er 2011 von der BBC in die Enge getrieben wurde:
This is a national security issue, turn that off!
Und genau deshalb gehört BlackBerry in keine sicherheitsbewusste Firma und noch viel weniger in die Hände deutscher Geheimnisträger im öffentlichen Bereich, was wir hier im Blog auch schon mehrfach besprochen wurde, zuletzt im Beitrag BlackBerry 10 für Merkel und die Regierung? Besser nicht!
Diesbezüglich bin ich aber sehr sicher, dass die hervorragenden Experten im BSI die Informationen der letzten Wochen sehr sorgfältig analysiert haben und unsere Politiker genau deshalb vor BlackBerry schützen werden und das sichere Simko 3 einführen, welches mit datomo Mobile Identity Management ein sicheres Management des enthaltenen Hardware-Krypto-Elementes ermöglicht.
Wenn Sie andere Fragen zu mobiler Sicherheit haben, fragen Sie uns bitte. Wir beraten viele Organisationen und Unternehmen zu allen Themen rund um die Mobility mit einem starken Fokus auf die verbundenen Sicherheitsfragen. Wir freuen uns, wenn wir auch Sie zukünftig beraten dürfen.
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“
Dateianlagen: