[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Roxen darf Strong Encryption nur in Schweden nutzen?



On Tue, 19 May 1998, Hubert Weikert wrote:

> Eine aehnliche Sache habe ich bei Checkpoint im Zusammenhang mit dem
> produkt Firewall-1 gehoert. Der Firmenvertreter versicherte mehrfach, dass
> Checkpoint bei diesem Produkt nur 40 bit Verschluesselung verwenden darf.
> Ich habe selbst Prospekte gesehen, in denen frueher eine 128 bit
> Verschluesselung angepriesen wurde.

Checkpoint's Prospekte, White Papers und Manuals sind ganz allgemein 
Musterbeispiele fuer geschickte Formulierungen. Sie nennen z.B. die 
Algorithmen (DES, RC4, FWZ1), schweigen sich aber ueber die 
Schluessellaenge aus. Der proprietaere FWZ1 wird schon lange als 
"exportfaehig" bezeichnet, auf Fragen nach den Gruenden und 
Zugriffsmoeglichkeiten kam die uebliche  heisse Luft. IIRC gab es lange 
Schluessel auch nur fuer diesen FWZ1, dessen  Innereien geheim sind. Ich 
habe mal _geruechteweise_ _gehoert_, FWZ1 waere ein Verwandter des 
sowjetischen GOST 28147-89. Und der hat einige "interessante" 
Eigenschaften, die auch ein faehiger Kryptologe nicht auf den ersten Blick 
sieht. 
Eine aehnlich "offene" Informationspolitik verfolgt Checkpoint auch mit 
der "Stateful Inspection". Wenn man wissen will, nach welchen Kriterien das 
Ding wirklich filtert,  Verzeihung, inspiziert natuerlich, muss man 
testen. Die Ergebnisse waren recht interessant.

Besonders vertrauenswuerdig ist das alles nicht. 

> Firewall-1 ist in Israel entstanden, und Israel hat meines Wissens keine
> Exportbeschraenkung fuer Kryptoprodukte. Nach Aussagen des
> Firmenvertreters nun aber doch.

Israel hat  nationale Interessen. Das ist ganz normal und nichts 
schlechtes. Die BR Deutschland hat auch nationale Interessen, das ist 
ebenfalls nicht neu. Jeder muss selber ueberlegen, welchen Firmen aus 
welchen Laendern er traut und welchen nicht. 
 
> Meine private Schlussfolgerung: Es wird versucht, nicht U.S.-Firmen auf
> U.S. Exportrichtlinien einzuschwoeren. Wie man das schaffen koennte? Z.B.
> in dem man den Firmen nicht mehr gestattet, in U.S.A. ihre Produkte
> verkaufen zu duerfen.

SO primitiv ist das nicht. Um Firewalls auf dem zivilen US-Markt zu 
verkaufen brauchst Du  irgendeine Zertifizierung, weil die 
Entscheidungstraeger nun mal meist keine Ahnung haben und gerne die 
Verantwortung delegieren. Dass "Zertifizierungen" von "Organisationen" 
wie NCSA/ICSA nicht unbedingt das Gelbe vom Ei sind hat sich mittlerweile 
'rumgesprochen. Fuer die meisten US-Buerger vertrauenswuerdig ist aber 
das DoD, das fuer den eigenen Gebrauch auch evaluiert und zertifiziert, z.B. 
nach TCSEC. Die ausfuehrende Behoerde ist dabei die NSA. 
Derzeit von besonderer Bedeutung ist  die Multilevel Information 
System Security Initiative (MISSI), bei der auch Firewalls eine grosse 
Rolle spielen. Im Rahmen von MISSI wurden mehrere Firewalls getestet, 
darunter auch Checkpoint's Firewall-1. IIRC haben sich einige Leute 
ziemlich gewundert, dass  sich dieser Test ziemlich lange hinzog und weil
vollkommen klar war, dass das DoD niemals ein israelisches System an 
so sensitiver Stelle einsetzen wuerde. Doch, Wunder ueber Wunder, 
findet sich auf der MISSI-Page der NSA auch Checkpoint's Firewall-1. Und 
der eilige Leser wird das Kleingedruckte auf dieser Seite ueberlesen und 
denken, Firewall-1 haette den Segen der NSA...

Rudi