Login
Newsletter
Werbung

Fr, 15. September 2017, 11:01

Software::Browser

Firefox 57 erhält verifizierte Kryptografiefunktionen

Mozilla hat Funktionen der HACL*-Bibliothek in seine Kryptografiebibliothek NSS übernommen, die formal verifiziert wurden und somit Implementierungsfehler in diesem kritischen Bereich weniger wahrscheinlich machen. Firefox wird ab Version 57 davon profitieren.

Mozilla Foundation

NSS, nicht zu verwechseln mit der gleichnamigen Name Service Switch-Funktionalität von glibc, ist eine Sammlung von Bibliotheken, die Mozilla bereits von Netscape übernommen hat und die sich plattformunabhängig mit der Implementation von Standards wie TLS, PKCS und anderen kryptografischen Funktionen befasst. Ihr Funktionsumfang geht teils über den von OpenSSL hinaus, und sie ist unter der Mozilla Public License 2.0 lizenziert.

Doch gleichgültig ob NSS, OpenSSL oder eine beliebige andere Krypto-Bibliothek, Fehler in diesem Code sollten vermieden werden, da jeder Fehler potentiell sicherheitskritisch ist. Doch selbst sorgfältiges Review und Tests können nicht jeden Fehler aufdecken, wie die Vergangenheit schon öfter gezeigt hat.

Die formale Verifikation von Programmcode ist ein lange bekannter Weg, sicherzustellen, dass der Code fehlerfrei ist. Praktikabel war diese Methodik, die mathematischen Beweisen analog ist, bisher aber nur für kurze Programme. Erst jüngere Fortschritte auf diesem Gebiet ermöglichen es, die Methode auch für reale Programme einzusetzen. Dies wurde von Projekt Everest für das komplette HTTPS-Protokoll in Angriff genommen. Während das Projekt nach Angaben auf seiner Webseite noch nicht abgeschlossen ist, wurde die formale Verifikation für die Bibliothek HACL* komplett durchgeführt. Diese ist in F* geschrieben, F* wird jedoch in lesbaren C-Code übersetzt, um von einem C-Compiler in Maschinencode compiliert zu werden.

Mozilla hat nun laut einer aktuellen Meldung eine Partnerschaft mit dem Projekt Everest geschlossen, um Komponenten aus HACL* in NSS zu übernehmen. Die erste Komponente, eine Implementation des Curve25519-Algorithmus, wurde jetzt übernommen und der Firefox-Quellcode greift darauf zurück. Neben der nun garantierten Sicherheit des Algorithmus ergab sich auch, dass dieser auf x86 64 Bit um 20% schneller ist als die frühere Implementation. Dieser Code gelangt nicht mehr in den bald erscheinenden Firefox 56, soll aber in Firefox 57 enthalten sein, der im November erscheinen wird und dann laut Mozilla der erste Webbrowser mit verifizierten Kryptografiefunktionen sein wird.

Werbung
Kommentare (Insgesamt: 21 || Alle anzeigen || Kommentieren )
Pro-Linux
Gewinnspiel
Neue Nachrichten
Werbung