Open SSL

Open SSL
OpenSSL
Entwickler: OpenSSL Core and Development Team
Aktuelle Version: 0.9.8k
(25. März 2009)
Aktuelle Vorabversion: 1.0.0 Beta2
(21. April 2009)
Betriebssystem: Linux, Unix, Mac OS X, Windows
Kategorie: Kryptografie
Lizenz: ähnlich der ASL
Deutschsprachig: nein
www.openssl.org

OpenSSL ist eine freie Implementierung des SSL/TLS-Protokolls und bietet darüber hinaus weitergehende Funktionen zur Zertifikatsverwaltung und zu unterschiedlichen kryptographischen Funktionen. Es basiert auf dem SSLeay-Paket, das von Eric A. Young und Tim Hudson entwickelt wurde, und wird zurzeit von einer unabhängigen Gruppe weiterentwickelt.

OpenSSL umfasst verschiedene Applikationen, beispielsweise zur Erzeugung von Zertifikaten, von Zertifizierungsanträgen und zur Verschlüsselung. Die verschiedenen Applikationen sind zusammengefasst im Kommandozeilen-Programm openssl.

Inhaltsverzeichnis

FIPS-140-2-Zertifizierung

OpenSSL ist das erste nach FIPS 140-2 zertifizierte Open-Source-Programm. Hierbei handelt es sich um einen Sicherheitsstandard, den das National Institute of Standards and Technology (NIST) für das Cryptographic Module Validation Program festgelegt hat.

Die Freigabe wurde im Januar 2006 erteilt. Im Juni wurde sie vorläufig wieder zurückgezogen, jedoch am 16. Februar 2007 wieder erteilt. Nach Aussage von John Weathersby vom Open Source Software Institute (OSSI) war das Problem „politischer Natur“ (im original: a political challenge), da eine vergleichbare Zertifizierung kommerzielle Anbieter erhebliches Geld kostet. Bezahlt wurde der Prozess vom amerikanischen Verteidigungsministerium und interessierten Firmen, die sich von einer freien Lösung finanzielle Einsparungen sowie Standardisierung erhoffen.[1]

Sicherheitslücke in Debian-Paketen

Am 13. Mai 2008 gab das Debian-Projekt bekannt, dass das OpenSSL-Paket der Distributionen seit 17. September 2006 (Version 0.9.8c-1 bis 0.9.8g-9) eine Sicherheitslücke enthielt. Durch einen Fehler in einem Debian-spezifischen Patch sind die mit dem in diesen Paketen enthaltenen Zufallszahlengenerator erzeugten Schlüssel vorhersagbar. Davon betroffen seien SSH-, OpenVPN-, DNSSEC-Schlüssel, Schlüssel in X.509-Zertifikaten sowie Sitzungsschlüssel, die in SSL/TLS-Verbindungen (HTTPS) genutzt werden. Schlüssel die mit GnuPG oder GNUTLS erzeugt wurden seien nicht betroffen.[2]

Die Sicherheitslücke entstand beim Versuch, eine Warnmeldung einer Codeprüfungs-Software zu beseitigen. Dabei sollte eine wenig relevante Codezeile, die die Warnung verursachte, entfernt werden, allerdings wurde auch ein zweites Vorkommen dieser Zeile entfernt, welche in einem anderen Kontext stand und eine völlig andere Bedeutung hatte.

Die entsprechenden Schlüsselpaare sind leicht angreifbar, da es möglich ist, sämtliche in Frage kommenden privaten Schlüssel innerhalb weniger Tage zu berechnen. Für die betroffenen SSH-Schlüssel existiert ein frei herunterladbares Paket im Internet. Durch diesen Fehler waren und sind SSL-Verbindungen zu vielen Servern gegenüber Man-in-the-middle-Angriffen verwundbar. Verbindungen zu Servern, die jemals ein Zertifikat mit einem schwachen Schlüssel aufwiesen, sind solange angreifbar, bis die Zertifikate ablaufen oder wirksam widerrufen werden. Dabei ist zu beachten, dass viele Browser nicht auf widerrufene Zertifikate prüfen. Besonders prominent in diesem Zusammenhang war ein verwundbarer Server des Dienstleisters Akamai[3], welcher unter anderem für die Bereitstellung der ELSTER-Software des deutschen Finanzamts[4] sowie von Treiber-Updates von ATI[5] verantwortlich ist.

Quellen

  1. http://www.gcn.com/online/vol1_no1/43142-1.html
  2. http://www.debian.org/security/2008/dsa-1571
  3. http://blog.fefe.de/?ts=b6c9ec7e
  4. Downloadlink auf https://www.elster.de/elfo_down4.php?who=2007/2008
  5. Downloadlink auf http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp64/theater550-xp64

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Open Systems AG — Type Private Industry ICT security services Founded Basel, Switzerland October 25, 1990 (1990 10 25) Founder(s) Florian Gutzwiller …   Wikipedia

  • Open-Xchange — Server Open Xchange portal interface Developer(s) Open …   Wikipedia

  • Open-Xchange — Server Open Xchange Portal …   Deutsch Wikipedia

  • Open-XChange — Server Open Xchange Portal Basisdaten Entwickler: Open Xchange GmbH Aktuelle Version: 0.8.8 0 (Hymalia, stable) (Januar 2008) …   Deutsch Wikipedia

  • Open TDT — es un proyecto funcional y tecnológico de código abierto para el desarrollo de servicios al ciudadano, asistencia social y ambiente asistido por parte de las Administraciones Locales mediante la integración de sistemas de información y tecnología …   Wikipedia Español

  • Open Shortest Path First — (OSPF) is an adaptive routing protocol for Internet Protocol (IP) networks. It uses a link state routing algorithm and falls into the group of interior routing protocols, operating within a single autonomous system (AS). It is defined as OSPF… …   Wikipedia

  • Open Network Computing — стек протоколов, разработанный компанией Sun Microsystems. Стек протоколов ONC ( п··р ) Sun RPC • XDR • NIS (YP) • NFS …   Википедия

  • Open Proxy — Ein Proxy (von engl. „proxy representative“ = Stellvertreter, bzw. lat. „proximus“ = der Nächste) arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite… …   Deutsch Wikipedia

  • Open Systems Interconnect — Modèle OSI Pile de protocoles 7 • Application 6 • Présentation 5 • Session 4 • Transport …   Wikipédia en Français

  • Open Systems Interconnection — Modèle OSI Pile de protocoles 7 • Application 6 • Présentation 5 • Session 4 • Transport …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”