Login
Newsletter
Werbung

Di, 18. Juli 2006, 12:06

Software::Security

OpenSSL verliert FIPS-Zertifikation

Die im Januar 2006 erteilte FIPS-Zertifikation, die es Behörden in den USA und Kanada ermöglichte, OpenSSL statt proprietärer Software einzusetzen, ist widerrufen worden.

Für die Zertifikation nach dem Federal Information Processing Standard (FIPS) sind in den USA das »National Institute of Standards and Technology (NIST)« in in Kanada das »Communications Security Establishment (CSE)« zuständig. Im Januar konnte noch verkündet werden, dass OpenSSL als erste Open-Source-Komponente diese Zertifikation für FIPS-140-2 überstand.

OpenSSL implementiert die Protokolle Secure Sockets Layer (SSL) und Transport Layer Security (TLS), die von zahlreichen Programmen verwendet werden. Zertifizierungen sind aufwendig und werden von freien Projekten daher selten angestrebt. Im Falle von OpenSSL war es das Open Source Software Institute, (OSSI), das die Zertifizierung vorantrieb. Mangels Erfahrung mit den üblichen Vorgehensweisen war es ein langwieriger Prozess, in dessen Rahmen die Zertifizierungsstelle auch eine neue Methodik der Zertifikation entwickeln musste.

Das Open Source Software Institute wurde vom Entzug der Zertifikation überrascht. Laut dessen Direktor John Weathersby ist es dass zweite Mal, dass die Zertifikation aus nicht näher genannten Gründen zurückgezogen wurde. Er weiß jedoch, dass die Zertifikation von Firmen angefochten wurde, die konkurrierende proprietäre SSL-Implementierungen anbieten. Die Tatsache, dass OpenSSL im Quellcode vorliegt, macht es den Konkurrenten einfach, auf mögliche Mängel hinzuweisen.

Ein solcher Einspruch führte offenbar zunächst zu einer Suspendierung der Zertifikation im Juni. Das OpenSSL-Projekt hat laut Weathersby das Problem korrigiert und die Software zur erneuten Zertifikation vorgelegt. Danach hätte die Zertifizierung durch das NIST wieder aktiviert werden sollen, stattdessen wurde sie ohne Angaben von Gründen vollständig entzogen.

Behörden, die OpenSSL einsetzen, könnten nun vor dem Problem stehen, künftig proprietäre SSL-Implementierungen kaufen zu müssen. Allein bei der Defense Information Systems Agency der USA würde die eine Ersparnis von mehreren hunderttausend US-Dollar zunichte machen.

Das OSSI wird den Entzug der Zertifikation anfechten und sich um eine erneute Zertifikation bemühen. Wie Weathersby angab, ist das Institut sehr verärgert über diese Vorgänge, wird aber nicht aufgeben.

Werbung
Kommentare (Insgesamt: 14 || Alle anzeigen )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung