Software::Security
Google arbeitet an eigener SSL-Implementation
Heartbleed hat das Vertrauen in wichtige Techniken, die das Rückgrat des Internet bilden, erschüttert. OpenSSL entpuppte sich als unterfinanziert und die Mitarbeiter als überarbeitet.
Codenomicon - www.codenomicon.com
OpenSSL: Schwerwiegender Fehler Heartbleed
Neben der Finanzierungskampagne »Core Infrastructure Initiative« der Linux Foundation für
unterfinanzierte kritische Projekte resultierte aus
Heartbleed Theo de Raadts Fork LibreSSL, der den Code von OpenSSL systematisch aufräumen will. Jetzt erklärt auch Google, an einer eigenen Version von SSL zu arbeiten.
Google-Entwickler Adam Langley erklärt in einem Blogeintrag, Google arbeite schon seit Jahren mit einer gepatchten Version der OpenSSL-Crypto-Bibliothek. Diese werde unter anderem in Chrome und Android eingesetzt. Dabei seien einige Patches wieder in OpenSSL eingeflossen, andere dagegen nicht. Grund hierfür sei, dass Google nicht so sehr auf ABI- und API-Stabilität achte, wie OpenSSL das tun müsse. Einige der Patches seien aber auch zu experimentell für OpenSSL.
Nun plant Langley unter den Arbeitstitel BoringSSL eine etwas konsistentere Bibliothek als das bisherige Patchwork, so dass - bei derzeit über 70 Patches - nicht mehr mehrere Codebasen nebeneinander gepflegt werden müssen. Während LibreSSL ein gleichwertiger Ersatz für OpenSSL sein will, will und kann BoringSSL dies aufgrund der Art der Patches nicht sein. Google steckt sowohl Geld in LibreSSL als auch in die Core Infrastructure Initiative, BoringSSL ist aber eher für den Hausgebrauch beim Suchmaschinenbetreiber gedacht.
Der bisher geschriebene Code liegt bereits in einem Git-Repositorium und soll bald auch im Chromium-Repositorium landen. Auch in Android und an anderen Stellen soll BoringSSL im Lauf der Zeit Einsatz finden. BoringSSL steht unter der ISC-Lizenz, einer Abwandlung der BSD-Lizenz, die weitgehende Freiheiten gewährt, da sie nur aus dem Copyrighthinweis, der Erlaubnis zur uneingeschränkten Nutzung und einem Haftungsausschluss besteht. Bisher von OpenSSL übernommene Patches hat Google auf Wunsch von OpenSSL ebenfalls der ISC-Lizenz unterstellt.
){kind=small}
