Firefox-maker Mozilla werkt aan een patch om oude encryptiecode die is voorzien van een achterdeur van de Amerikaanse overheid te verwijderen. Die antieke achterdeur is nog afkomstig van de oorspronkelijke Netscape-browser. De ooit vrijgegeven broncode daarvan is gebruikt om Firefox te maken.

Crashes

Het gaat om support voor encryptiealgoritme Skipjack en hardwaresysteem Fortezza, dat Skipjack gebruikte. De in Firefox achtergebleven code hiervoor werkt niet, maar heeft wel bugs die tot crashes kunnen leiden. Die zijn in theorie weer te gebruiken om aanvallen uit te voeren op de computers van Firefox-gebruikers.

Een aankomende patch verwijdert de ondersteuning voor die achterhaalde encryptietechnologie, met achterdeur. Die support zit in de NSS-library (Network Security Services) die wordt gebruikt voor encryptieprotocol SSL (secure sockets layer). Alleen de onderdelen Softoken en FreeBL blijven achter in de code, schrijft ontwikkelaar Brian Smith in reactie op het bugrapport over de crashes door de antieke encryptiecode.

In 2004 al geprobeerd

De open source-stichting fixt hiermee ook een bug waarover in 2004 al een rapport is ingediend. Het voorstel van security-expert Nelson Bolyard (MisterSSL op Twitter) voor die bug was al meteen het verwijderen van alle support voor de encryptietechnologie, met ingebouwde achterdeur.

Zijn in 2005 uitgebrachte patch heeft echter niet alle Fortezza-code verwijderd. Dat is toen al direct geconstateerd en erkend. Vervolgens is er in mei 2007 en in april dit jaar nog aan gewerkt. Nu wordt het karwei dus afgemaakt. “Deze patch moet de één na laatste stap zijn in het uitvagen van de Fortezza-code uit NSS. We hebben het al enige tijd geleden voor het grootste deel verwijderd uit SSL", meldt voormalig Netscape-ontwikkelaar Robert Relyea.

Geen Big Brother

De oorsprong van de achterdeur in de Netscape-code blijkt niet een overheidsverplichting te zijn om beveiligd webverkeer af te kunnen luisteren. De support voor Fortezza is toegevoegd door Relyea, tegenwoordig in dienst bij Linux-leverancier Red Hat. De ontwikkelaar legt uit dat dit toen is gedaan om de Netscape-software 'verkoopbaar' te maken aan de Amerikaanse overheid.

Netscape kon daarmee aanhaken op de encryptietechnologie, met ingebouwde achterdeur, die wat de Amerikaanse regering betreft toekomstige standaarden waren. Dit voor intern gebruik van diezelfde overheid middels aanhaken op de Fortezza-library die overheidsleveranciers gebruikten.

Verwaarlozing

“Het werd duidelijk voor de overheid dat maatwerkuitvoeringen ('one-off versions') van Netscape-producten niet houdbaar waren, en dat het onwaarschijnlijk was dat Fortezza zou aanslaan", schrijft Relyea terugblikkend. Hij verklaart dat er dus support voor encryptiestandaard PKCS 11 is toegevoegd, die dan werd gebruikt voor toegang tot Fortezza. “Dat heeft Fortezza niet veel geholpen, maar heeft de vroege specificaties voor PKCS #11 wel een oppepper gegeven."

“Sindsdien heeft de code liggen rotten." De voormalig Netscape-ontwikkelaar stelt dat de achtergebleven code het resultaat is van verwaarlozing. “Helaas, geen samenzweringstheorie", tweet security-expert Tavis Ormandy van Google met een lach. Hij heeft laatst de achtergebleven achterdeur ontdekt in de Firefox-code.