Login
Newsletter
Werbung

Di, 30. September 2014, 15:00

Software::Security

LibreSSL strebt universelle Krypto-Schnittstelle an

Ted Unangst hat einen Überblick über den aktuellen Status von LibreSSL gegeben. Nachdem alles entfernt wurde, was entfernbar war, widmet sich das Projekt jetzt der Konsolidierung. Unter dem Namen »ressl« soll eine neue universelle Programmierschnittstelle entstehen, die einfacher und klarer als die von OpenSSL ist.

OpenBSD

LibreSSL entstand als Reaktion auf den katastrophalen Heartbleed-Fehler von OpenSSL. Die OpenBSD-Entwickler sahen sich den OpenSSL-Code näher an und erachteten ihn als unwartbar, in weiten Teilen obsolet und unnötig kompliziert. LibreSSL soll dies alles ändern und ein vollständig kompatibler Ersatz für OpenSSL werden.

Einen Monat nach seinem Beginn hatte das Projekt erstmals einen Statusbericht vorgelegt. Darin erklärten die Entwickler, welche Probleme sie in OpenSSL fanden und wie sie eine große Menge von Code entfernten, der in ihren Augen obsolet war, sinnlose Implementationen von Funktionen, die von modernen C-Bibliotheken bereitgestellt werden, darstellte oder die Komplexität unnötig erhöhte. Nach allen Änderungen und der Veröffentlichung der Version 2.0 war LibreSSL immer noch kompatibel mit OpenSSL, da für alle entfernten Funktionen ein gleichnamiger Ersatz geschaffen wurde.

Einige Monate später ist LibreSSL offenbar nahezu fertig mit dem Entfernen von unnötigen Funktionen, wie Ted Unangst erläutert. Er bescheibt in seinem Artikel, der die Ausarbeitung eines Vortrags auf der EuroBSDCon darstellt, einige bizarre Code-Stellen von OpenSSL, die in LibreSSL entfernt oder durch simple Lösungen ersetzt wurden. Zugleich kritisiert er die Veröffentlichungspolitik von OpenSSL heftig. Beispielsweise wurde Anfang August ein weiteres Sicherheitsupdate von OpenSSL herausgegeben. Statt jedoch nur die zwei vorhandenen Probleme zu beheben, wurden zahlreiche weitere Änderungen mit eingebaut, die einen Patch von 13.000 Zeilen Umfang ergaben. FreeBSD benötigte offenbar einen vollen Monat, um diesen Patch durchzugehen und die relevanten Änderungen für die Korrektur seiner mitgelieferten OpenSSL-Version daraus zu extrahieren. Doch es kam noch besser: Die neue Version von OpenSSL führte zu einer Regression in dem Teil, in dem die Sicherheitslücken behoben wurden.

LibreSSL hat laut Unangst noch einiges zu tun, um schlechten Code, der noch benötigt wird, zu ersetzen. Darüber hinaus wurden einige Erweiterungen wie der ChaCha20-Algorithmus eingebaut. Interessant wird es in der Zukunft, wenn LibreSSL aufhört, die in den Augen der Entwickler fehlerträchige Programmierschnittstelle von OpenSSL zu unterstützen. Voraussichtlich wird dieses API unter dem neuen Namen ressl (Reimagined SSL) veröffentlicht. Es soll eine universelle, einfach zu benutzende Schnittstelle werden, die keine Interna der Implementation nach außen gibt und nicht an LibreSSL gebunden ist. Die Ausarbeitung dieses APIs findet auf der Tech-Mailingliste von OpenBSD statt.

Werbung
Kommentare (Insgesamt: 10 || Alle anzeigen )
Re: Che Guevara ... (Anonymous, Do, 2. Oktober 2014)
Re: Che Guevara ... (zui, Do, 2. Oktober 2014)
Che Guevara ... (beccon, Mi, 1. Oktober 2014)
Re[3]: Stinkefinger für die NSA? (Herzlos, Mi, 1. Oktober 2014)
Re[2]: Stinkefinger für die NSA? (guybrush, Mi, 1. Oktober 2014)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung