Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 14. Juli 2014, 08:11

Software::Security

LibreSSL 2.0.0 freigegeben

Das OpenBSD-Projekt hat die Kryptografie-Bibliothek LibreSSL in Version 2.0.0 freigegeben. Der Hauptzweck dieser Version ist es, Feedback zu erhalten.

OpenBSD

LibreSSL wird, ähnlich wie OpenSSH, in zwei Editionen herausgegeben: Eine für OpenBSD und eine portable Edition für andere Betriebssysteme. Letztere wurde jetzt nur zweieinhalb Monate nach der Abspaltung von OpenSSL in der ersten Version 2.0.0 veröffentlicht. Nach Angaben von Bob Beck wurde sie unter Linux, Solaris, Mac OS X und FreeBSD getestet.

LibreSSL entstand als Reaktion auf den katastrophalen Heartbleed-Fehler von OpenSSL. Die OpenBSD-Entwickler sahen sich den OpenSSL-Code näher an und erachteten ihn als unwartbar, in weiten Teilen obsolet und unnötig kompliziert. LibreSSL soll dies alles ändern und ein vollständig kompatibler Ersatz für OpenSSL werden.

Das originale OpenSSL-Projekt wird inzwischen von der Linux Foundation gefördert, die in einer schnellen Reaktion auf den Heartbleed-Fehler Geld für kritische Projekte bereitgestellt hatte. Auch LibreSSL hat entsprechende Unterstützung beantragt, bisher aber, soweit bekannt, noch keine erhalten.

Mit der finanziellen Unterstützung will das OpenSSL-Projekt die erkannten Probleme lösen, wofür Anfang Juli ein Projektplan vorgelegt wurde. Der Plan sieht eine komplette Überarbeitung der Bibliothek vor, wofür mindestens ein Jahr veranschlagt wurde. Die Probleme, die das OpenSSL-Projekt darin eingesteht, entsprechen denjenigen, die LibreSSL bereits im April erkannt hatte. Auch der geplante Lösungsweg ist ähnlich. Dennoch könnte es passieren, dass sich OpenSSL und LibreSSL auseinander entwickeln, da die LibreSSL-Entwickler planen, interne Funktionen aus der öffentlich zugänglichen Programmierschnittstelle zu entfernen und schlecht durchdachte Programmierschnittstellen zu ersetzen.

Die jetzt veröffentlichte erste Version von LibreSSL dient laut Bob Beck dazu, Feedback zu erhalten. Der Quellcode ist im Verzeichnis LibreSSL auf den OpenBSD-Spiegelservern verfügbar. Eine genaue Angabe zum aktuellen Stand der Software fehlt. Für einen produktiven Einsatz dürfte es noch zu früh sein, ohnehin muss die Bibliothek erst einmal in vorhandene Software integriert werden und umfassend getestet werden, wenn sie OpenSSL ersetzen soll. Die Entwickler planen die Portierung auf weitere Betriebssysteme, wenn die verfügbare Zeit und die Ressourcen es zulassen. Das Projekt kann weiter durch Spenden unterstützt werden.

Nachdem erstes Feedback aus der Gemeinschaft bereits eingetroffen ist, haben die Entwickler inzwischen die Version 2.0.1 veröffentlicht. Neben ersten Korrekturen zur Verbesserung der Portabilität ist die neue Version auch mit SHA256 signiert, um ihre Integrität überprüfbar zu machen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung