Software::Security
OpenSSL erhält FIPS-Zertifikation zurück
Die freie Kryptographie-Bibliothek OpenSSL wurde neu zertifiziert und darf damit in den USA und Kanada auch mit vertraulichen Behördendaten eingesetzt werden.
Wie das für die Zertifizierung maßgebliche Open Source Software Institute (OSSI) mitteilte, ist das offizielle Zertifikat der Validierung in der Cryptographic Modules Validation List von NIST FIPS 140-1 und 140-2 zu finden.
OpenSSL implementiert die Protokolle Secure Sockets Layer (SSL) und Transport Layer Security (TLS), die von zahlreichen Programmen verwendet werden. Im Rahmen des »Cryptographic Module Validation Program (CMVP)« wurde die unter BSD-Lizenzen stehende Bibliothek validiert. CMVP ist eine gemeinsame Initiative der US-amerikanischen und der kanadischen Regierung. Die Validierung von OpenSSL wurde bereits im Januar 2006 einmal durchgeführt, jedoch im Juli 2006 zeitweilig aufgehoben. Nachdem die Gründe für die Aufhebung beseitigt waren, strebte OSSI eine erneute Zertifizierung an. Diese war erfolgreich und somit gilt OpenSSL nun wieder als konform zum Federal Information Processing Standard (FIPS) 140-2. Behörden dürfen vertrauliche Daten mit Software verwalten, die OpenSSL benutzt.
Die Zertifizierung bezieht sich genau genommen lediglich auf ein Binärpaket, das aus einer bestimmten Version von OpenSSL generiert wurde. Dieses »OpenSSL FIPS-Objektmodul« steht zum freien Download unter dem Namen »openssl-fips« bereit. Es soll zu einer breiten Auswahl von Hardware und Betriebssystemplattformen kompatibel sein.
Zertifizierungen sind aufwendig und werden von freien Projekten daher selten angestrebt. Das Open Source Software Institute, das die Zertifizierung vorantrieb, wurde von der medizinischen Logistikabteilung des US-Militärs (DMLSS), HP, IBM und Secure Computing finanziert.
