Das Gerücht des Tages: Backdoor in IPsec-Implementierung?

Wenn das, was in die­ser Mail an OpenBSD-Grün­der Theo de Raadt be­haup­tet wird, tat­säch­lich Hand und Fuß hat, wäre das in der Tat bit­ter:

I have re­cei­ved a mail re­gar­ding the early de­ve­lop­ment of the OpenBSD IPSEC stack. It is al­le­ged that some ex-de­ve­l­o­pers (and the com­pa­ny they worked for) ac­cep­ted US go­vern­ment money to put back­doors into our net­work stack, in par­ti­cu­lar the IPSEC stack. Around 2000-2001.

Vor­ne­weg: Vor­sicht, es han­delt sich bis dato um eine un­be­stä­tig­te Aus­sa­ge. De Raadt äu­ßert sich auch sehr zu­rück­hal­tend ("The mail came in pri­va­te­ly from a per­son I have not tal­ked to for ne­ar­ly 10 years"), aber of­fen­bar scheint ihm die In­for­ma­ti­on doch ge­halt­voll genug, daß er sie an die OpenBSD-Ent­wi­cker-Mai­ling­lis­te wei­ter­lei­te­te. Edit: Ein wei­te­rer Kom­men­tar des Ver­fas­sers der Mail an de Raadt ist in­zwi­schen in die­sem Blog zu lesen; damit dürf­te wohl die Mail an de Raadt als au­then­tisch gel­ten, sonst wäre hier ein De­men­ti zu lesen ge­we­sen.

Soll­te da etwas dran sein, ste­hen di­ver­sen Open­sour­ce-Pro­jek­ten ar­beits­rei­che Weih­nachts­fe­ri­en ins Haus: Die BSDs hat­ten die ers­ten Im­ple­men­tie­run­gen von IPsec (so­wohl von der Ker­nel-Un­ter­stüt­zung her als auch von den zu­ge­hö­ri­gen Da­e­mons wie ike), und an­fangs wurde hier viel Code "aus­ge­lie­hen" und por­tiert. Es fällt schwer ab­zu­schät­zen, wie weit sich ir­gend­wel­che bös­ar­ti­gen Än­de­run­gen (so­fern es wel­che gab) da­durch in an­de­re Sys­te­me "fort­ge­pflanzt" haben...

Edit 2: Die Ent­wick­ler, die zu die­ser Zeit an dem IP­sec-Code ge­ar­bei­tet haben, de­men­tie­ren, hier eine Hin­ter­tür ein­ge­baut zu haben. Auch beim In­ter­net Storm Cen­ter (ISC) hält man es für un­wahr­schein­lich, daß der Code eine noch un­ent­deck­te (und noch funk­tio­nie­ren­de) Back­door ent­hält.