Software::Security
OpenSSL erhält FIPS-Zertifikation
Die freie Kryptographie-Bibliothek OpenSSL darf in den USA und Kanada nun auch mit vertraulichen Behördendaten eingesetzt werden.
Im Rahmen des »Cryptographic Module Validation Program (CMVP)« wurde die unter BSD-Lizenzen stehende Bibliothek validiert. CMVP ist eine gemeinsame Initiative der US-amerikanischen und der kanadischen Regierung. Die Validierung von OpenSSL hat ergeben, daß die Software den Federal Information Processing Standard (FIPS) 140-2 einhält. Behörden dürfen nun vertrauliche Daten mit Software verwalten, die OpenSSL benutzt.
OpenSSL implementiert die Protokolle Secure Sockets Layer (SSL) und Transport Layer Security (TLS), die von zahlreichen Programmen verwendet werden.
Noch ist die Zertifizierung von OpenSSL nicht offiziell, dies ist nach den Informationen von NewsForge aber nur noch Formsache. Das Zertifikat muß noch von Vertretern der beiden beteiligten Behörden, dem »US National Institute for Standards and Technology (NIST)« und »Kanada Communications Security Establishment (CSE)« unterzeichnet werden, um ihm Gültigkeit zu verleihen. OpenSSL wird zunächst auf der Stufe 1, der niedrigsten von vier möglichen Stufen, zertifiziert. Die Zertifizierung erstreckt sich auf neun der elf Kategorien, in denen OpenSSL getestet wurde.
Zertifizierungen sind aufwendig und werden von freien Projekten daher selten angestrebt. Im Falle von OpenSSL war es das Open Source Software Institute, das die Zertifizierung vorantrieb. Mangels Erfahrung mit den üblichen Vorgehensweisen war es ein langwieriger Prozeß. Hinzu kommt noch, daß die Zertifizierung normalerweise nur für bestimmte Konfigurationen gilt, freie Software aber prinzipiell in unbegrenzt vielen Konfigurationen eingesetzt werden kann. Die Zertifizierung von OpenSSL gilt jedoch für alle möglichen Verwendungszwecke, solange die Anleitungen des CMVP eingehalten werden.
Für den Direktor des Open Source Software Institute, John Weathersby, ist die Zertifizierung ein Meilenstein. Nun könne niemand mehr sagen, OpenSSL sei nicht gut genug. Auch für CMVP war es eine neue Erfahrung, freie Software zu zertifizieren, die zur Entwicklung einer eigenen Methodik führte. Dies sollte zukünftige Zertifizierungen erleichtern.
