Openssl

Openssl
OpenSSL
Entwickler: OpenSSL Core and Development Team
Aktuelle Version: 0.9.8k
(25. März 2009)
Aktuelle Vorabversion: 1.0.0 Beta2
(21. April 2009)
Betriebssystem: Linux, Unix, Mac OS X, Windows
Kategorie: Kryptografie
Lizenz: ähnlich der ASL
Deutschsprachig: nein
www.openssl.org

OpenSSL ist eine freie Implementierung des SSL/TLS-Protokolls und bietet darüber hinaus weitergehende Funktionen zur Zertifikatsverwaltung und zu unterschiedlichen kryptographischen Funktionen. Es basiert auf dem SSLeay-Paket, das von Eric A. Young und Tim Hudson entwickelt wurde, und wird zurzeit von einer unabhängigen Gruppe weiterentwickelt.

OpenSSL umfasst verschiedene Applikationen, beispielsweise zur Erzeugung von Zertifikaten, von Zertifizierungsanträgen und zur Verschlüsselung. Die verschiedenen Applikationen sind zusammengefasst im Kommandozeilen-Programm openssl.

Inhaltsverzeichnis

FIPS-140-2-Zertifizierung

OpenSSL ist das erste nach FIPS 140-2 zertifizierte Open-Source-Programm. Hierbei handelt es sich um einen Sicherheitsstandard, den das National Institute of Standards and Technology (NIST) für das Cryptographic Module Validation Program festgelegt hat.

Die Freigabe wurde im Januar 2006 erteilt. Im Juni wurde sie vorläufig wieder zurückgezogen, jedoch am 16. Februar 2007 wieder erteilt. Nach Aussage von John Weathersby vom Open Source Software Institute (OSSI) war das Problem „politischer Natur“ (im original: a political challenge), da eine vergleichbare Zertifizierung kommerzielle Anbieter erhebliches Geld kostet. Bezahlt wurde der Prozess vom amerikanischen Verteidigungsministerium und interessierten Firmen, die sich von einer freien Lösung finanzielle Einsparungen sowie Standardisierung erhoffen.[1]

Sicherheitslücke in Debian-Paketen

Am 13. Mai 2008 gab das Debian-Projekt bekannt, dass das OpenSSL-Paket der Distributionen seit 17. September 2006 (Version 0.9.8c-1 bis 0.9.8g-9) eine Sicherheitslücke enthielt. Durch einen Fehler in einem Debian-spezifischen Patch sind die mit dem in diesen Paketen enthaltenen Zufallszahlengenerator erzeugten Schlüssel vorhersagbar. Davon betroffen seien SSH-, OpenVPN-, DNSSEC-Schlüssel, Schlüssel in X.509-Zertifikaten sowie Sitzungsschlüssel, die in SSL/TLS-Verbindungen (HTTPS) genutzt werden. Schlüssel die mit GnuPG oder GNUTLS erzeugt wurden seien nicht betroffen.[2]

Die Sicherheitslücke entstand beim Versuch, eine Warnmeldung einer Codeprüfungs-Software zu beseitigen. Dabei sollte eine wenig relevante Codezeile, die die Warnung verursachte, entfernt werden, allerdings wurde auch ein zweites Vorkommen dieser Zeile entfernt, welche in einem anderen Kontext stand und eine völlig andere Bedeutung hatte.

Die entsprechenden Schlüsselpaare sind leicht angreifbar, da es möglich ist, sämtliche in Frage kommenden privaten Schlüssel innerhalb weniger Tage zu berechnen. Für die betroffenen SSH-Schlüssel existiert ein frei herunterladbares Paket im Internet. Durch diesen Fehler waren und sind SSL-Verbindungen zu vielen Servern gegenüber Man-in-the-middle-Angriffen verwundbar. Verbindungen zu Servern, die jemals ein Zertifikat mit einem schwachen Schlüssel aufwiesen, sind solange angreifbar, bis die Zertifikate ablaufen oder wirksam widerrufen werden. Dabei ist zu beachten, dass viele Browser nicht auf widerrufene Zertifikate prüfen. Besonders prominent in diesem Zusammenhang war ein verwundbarer Server des Dienstleisters Akamai[3], welcher unter anderem für die Bereitstellung der ELSTER-Software des deutschen Finanzamts[4] sowie von Treiber-Updates von ATI[5] verantwortlich ist.

Quellen

  1. http://www.gcn.com/online/vol1_no1/43142-1.html
  2. http://www.debian.org/security/2008/dsa-1571
  3. http://blog.fefe.de/?ts=b6c9ec7e
  4. Downloadlink auf https://www.elster.de/elfo_down4.php?who=2007/2008
  5. Downloadlink auf http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp64/theater550-xp64

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • OpenSSL — Developer(s) The OpenSSL Project Stable release 1.0.0e  (6 September 2011; 2 months ago (2011 09 06)[ …   Wikipedia

  • OpenSSL — Entwickler OpenSSL Core and Development Team Aktuelle Version 1.0.0e (6. September 2011) Betriebssystem Linux, Unix, Mac OS X, Windows Kategorie …   Deutsch Wikipedia

  • OpenSSL — Тип Библиотека Разработчик The OpenSSL Project Написана на C Операционная система Кроссплатформенное программное обеспечение Последняя версия 1.0.1c[1] (10 мая, 2012 …   Википедия

  • Openssl — Développeur The OpenSSL Project Dernière version …   Wikipédia en Français

  • OpenSSL — Développeur The OpenSSL Project Dernière version …   Wikipédia en Français

  • OpenSSL — Desarrollador The OpenSSL Project www.openssl.org Información general Última versión estable 1.0.0d 8 de febrero de 2011; ha …   Wikipedia Español

  • OpenSSL — freie Secure Socket Layer (SSH) Implementierung http://www.openssl.org/) …   Acronyms

  • OpenSSL — freie Secure Socket Layer (SSH) Implementierung http://www.openssl.org/) …   Acronyms von A bis Z

  • Openssl — …   Википедия

  • OpenSSL — Open Source Projekt zur Entwicklung einer frei verfügbaren Version des Verschlüsselungs und Authentifizierungsverfahrens Secure Socket Layer (SSL). Open Source, SSL, Verschlüsselung …   Online-Wörterbuch Deutsch-Lexikon

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”