Über dem Security-Spezialisten RSA Security ziehen sich zunehmend dunkle Wolken zusammen. Vorläufiger Höhepunkt: Mittlerweile mindestens zehn prominente Sicherheitsexperten zogen ihre Zusage für eine Teilnahme an der kommenden RSA-Konferenz zurück, die vom 24. bis 28. Februar 2014 im Moscone Center in San Franzisko stattfindet. Doch es könnte noch schlimmer kommen: Die ersten unter den Besuchsverweigerern rufen weitere Teilnehmer zum Boykott auf.

Was ist passiert? Das Unwetter deutete sich im September vergangenen Jahres an, als RSA bereits vor ihrem eigenen Produkt warnte, bzw. vor dem Zufallszahlengenerator Dual_EC_DRBG. Dieser wurde vom US-Geheimdienst NSA mitprogrammiert – und ist in dem RSA-Produkt BSAFE als Standardeinstellung (!) integriert. Das zugrunde liegende Verfahren wurde damals bereits von der Standardisierungsbehörde NIST als potentiell unsicher deklariert. (Andere Zufallszahlengeneratoren in BSAFE scheinen sicherer zu sein.) Ein gut funktionierender Zufallszahlengenerator ist der Schlüssel für eine sichere Verschlüsselung.

Verschlüsselung aufgeweicht für zehn Millionen US-Dollar?

Der erste gewaltige Blitz entlud sich über der EMC-Tochter RSA schließlich am 20. Dezember letzten Jahres, als die Nachrichtenagentur Reuters aus Dokumenten des Whistleblower Edward Snwoden zitierte, wonach die NSA zehn Millionen US-Dollar an RSA für eine Hintertür (Backdoor) gezahlt habe. RSA dementierte dies am 22. Dezember, aber Reuters besteht weiterhin auf dem Nachrichteninhalt.

Sicherheitsexperte Jeffrey Carr, der seinen Auftritt auf der RSA-Konferenz zurückzog, fand beispielsweise ein 1994er Interview des seinerzeitigen RSA-Presidenten James Bidzos in der »New York Times«, in dem dieser prahlte, dass seine Technologie für die NSA unknackbar sei (hier im Original in Englisch): »For almost 10 years, I've been going toe to toe with these people at Fort Meade. The success of this company (RSA) is the worst thing that can happen to them. To them, we're the real enemy, we're the real target. … We have the system that they're most afraid of. If the U.S. adopted RSA as a standard, you would have a truly international, interoperable, unbreakable, easy-to-use encryption technology. And all those things together are so synergistically theatening to the N.S.A.'s interests that it's driving them into a frenzy.«

RSA bescheinigt NSA auf einmal »vertrauenswürdige Rolle«?

Mit anderen Worten: Bei der NSA sitzen die Bösen – und wir (RSA) haben das Gegenmittel, wir sind ihr echter Feind. Doch wie liest sich das im RSA-Dementi auf die Reuters-Veröffentlichung? (Auch hier ein bedeutender Absatz im Original in Englisch) »We made the decision to use Dual_EC-DRBG as the default in BSAFE toolkits in 2004, in the context of an industry-wide effort to develop newer, stronger methods of encryption. At that time, the NSA had a trusted role in the community-wide effort to strengthen, not weaken, encryption.«

Vor allem wegen diesem Dementi schäumen die Sicherheitsexperten vor Wut. Was war in den zehn Jahren von 1994 bis 2004 passiert, dass man die Seiten wechselte, und der NSA eine »vertrauenswürdige Rolle« im Verschlüsselungsbereich einräumte? Offensichtlich zumindest eine 10-Millionen-US-Dollar-Zahlung…

Aktuell zehn Verweigerer der RSA-Konferenz bekannt

Der erste, der die RSA-Konferenz öffentlich boykottierte, war Mikko Hypponen, Forschungsleiter von F-Secure. Er will sich aber nicht als Anführer eine Boykott-Bewegung sehen – es sei schlicht und einfach seine persönliche Entscheidung. Weitere Absagen kamen zwischenzeitlich von Sicherheitsexperten von Google sowie dem Datenschutzbeauftragten von Mozilla. Auch Marcia Hofmann von der Electronic Frontier Foundation (EFF) verweigert. Der Security-Blogger Robert Graham führt eine öffentliche Liste.

Für die Veranstaltung sind 560 Vorträge geplant. Die Zahl der Teilnehmer soll laut Veranstalter die des Vorjahrs übertreffen, letztes Jahr wurden 24.000 Besucher registriert.

.