pcnews Von: Martin Weissenboeck [mweissen@ccc.at] Gesendet: Donnerstag, 7. Januar 1999 08:58 An: agtk@ccc.or.at Betreff: AGTK 99007: Kryptographie AGTK 99007: Kryptographie. 07.01.99 USA beschliesst neue Krypto-Bestimmungen Keine Schluesselhinterlegung noetig - Wassenaar ad absurdum gefuehrt? Washington (pte) (30. Dezember 98/07:00) - Noch vor dem Jahreswechsel hat das US-Wirtschaftsministerium neue Bestimmungen fuer den Export von Verschluesselungssoftware verabschiedet. Demnach darf Kryptografie-Software mit einer Schluessellaenge unter 56 Bit nach einer einmaligen Pruefung durch das Wirtschaftsministerium kuenftig exportiert werden. Bisher war eine maximale Schluessellaenge von 40 Bit erlaubt. In sieben als "terroristisch" eingestufte Staaten sind allerdings weiterhin keine Exporte erlaubt. Nach Aussagen der Ministeriumssprecherin Sue Hofer darf kuenftig auch Kryptografie-Software mit unbegrenzter Schluessellaenge an Internet-Anbieter, Finanzinstitute und medizinische Einrichtungen in insgesamt 42 als "sicher" eingestufte Staaten ausgeliefert werden. Notwendig dazu sei lediglich eine einmalige Untersuchung des Ministeriums. Diese dauere etwa 15 Tage. Eine Schluesselhinterlegung sei nicht vorgesehen, so Hofer. Die neuen Aeusserungen des US-Wirtschaftsministeriums scheinen die Bestimmungen des in Wien ausgehandelten Wassenaar-Abkommens ad absurdum zu fuehren. Diese sehen vor, dass Kryptografie-Software ueber 64 Bit Schluessellaenge nicht mehr ausgeliefert werden darf. 33 Staaten haben das von der US-Regierung angestrengte Abkommen unterzeichnet. Die ueberraschende Neuregelung der Exportbestimmungen hat der Firma Watchguard Technologies als erstem amerikanischen Krypto-Unternehmen ein verspaetetes Weihnachtsgeschenk eingebracht. Das Bureau of Export Administration (BXA), eine Abteilung des US-Wirtschaftsministeriums, erteilte dem Anbieter von Sicherheitsanwendungen fuer das Internet die Genehmigung zur Ausfuhr des "WatchGuard Security System" an Kunden ausserhalb der Vereinigten Staaten. Das Produkt chiffriert Nachrichten mit einem 56 Bit langen Schluessel. http://www.watchguard.com/ Das "Watchguard Security System" ist eine Sicherheitsloesung auf Subskriptionsbasis mit einer integrierten Firewall, Virtual Private Network (VPN), und der Moeglichkeit des automatischen Updates. Es wurde speziell fuer kleine und mittlere Betriebe entwickelt, denen die technischen Ressourcen fehlen, um eine Host-basierte Firewall zu installieren. Das System kostet 4995 Dollar und umfasst die Watchguard Firebox, Firewall, Anwender-Identifizierung, VPN, Security Management Software und ein sechsmonatiges Abo fuer Watchguard Live Security. Die 56-Bit-Version soll ab 1. Februar 1999 fuer den Export erhaeltlich sein. (ZDNet) Cyberspace ist noch zu unsicher USA wird zu intensiver Foerderung aufgefordert New York (pte) (29. Dezember 98/13:16) - Im Auftrag des Computer Science and Telecommunication Board wurde das Committee on Information Systems Trustworthiness, dem Experten von Firmen, Behoerden und Universitaeten angehoeren, beauftragt, einen Bericht ueber die Sicherheit im Cyberspace zu verfassen. Vor kurzem wurde das Werk vom National Research Council http://www.nas.edu veroeffentlicht. Kritisiert wird darin die mangelnde Aufmerksamkeit auf Sicherheitsaspekte. Gleichzeitig erfolgte auch ein Aufruf an die US-Regierung, sich mit Forschungsgeldern mehr zu engagieren. Erforderlich sind neue Ansaetze, um zu verhindern, dass moeglicherweise durch Umweltkatastrophen, Angriffe oder Bedienungsfehler ganze Netzwerke zusammenbrechen. Neben den Bedrohungen durch Cracker oder Cyberterroristen sind die Computersysteme trotz aller Sicherheitsvorkehrungen auch durch menschliche Irrtuemern, Stromausfaelle oder Konstruktionsfehler gefaehrdet. Und gerade weil die Systeme miteinander verbunden sind, kann die Stoerung des einen Systems, beispielsweise des Telefonsystems, die Leistungsfaehigkeit von anderen beeintraechtigen. Das Internet jedenfalls ist bislang, so der Bericht, keineswegs sicher genug, um wirklich wichtige Systeme von ihm abhaengig werden zu lassen. Vornehmlich verbesserungsbeduerftig sind die Routing-Protokolle, die Authentifizierung und die Hosts. Aber auch die Versuche, in Computersysteme einzudringen oder die Kommunikation zu belauschen, nehmen staendig zu. Und da es immer mehr Benutzer gebe, die technisch nicht ausgebildet sind, koennen ueberdies mehr Menschen Stoerungen verursachen und zu deren Opfer werden. Die wahrscheinlich zunehmende Internet-Telefonie wird die Unsicherheit noch weiter steigern. Man hat zwar, etwa mit der Einrichtung der Commission on Critical Infrastructure Protection http://www.pccip.gov , ein Bewusstsein ueber die moeglichen Gefaehrdungen der Netzwerke geschaffen, aber die Ergreifung von Sicherheitsmassnahmen kann nur auf den aktuellen Wissenstand zurueckgreifen, und der ist nicht ausreichend. (telepolis) --- MfG Martin Weissenboeck --- --- E-Mail: mweissen@ccc.at Tel: +43-1-369 88 58-10 --- Gatterburggasse 7, A-1190 Wien Fax: +43-1-369 88 58-77 ------- This message was distributed via the Listserver of the CCC (Computer Communications Club) - (e-mail 'ccc@ccc.or.at' for info's). To unsubscribe from the list send a message to listserv@ccc.or.at with the following command in the message body: 'unsubscribe agtk' .