Login
Newsletter
Werbung

Mo, 22. Januar 2018, 12:48

Software::Security

OpenSSL-Entwicklung soll transparenter werden

Die OpenSSL-Entwicklung soll sich künftig mehr auf Github stützen, projektrelevante Dinge auf einer öffentlichen Mailingliste diskutieren und technische Schulden abbauen. Nach mehr als eineinhalb Jahren soll zudem eine Version mit neuer Funktionalität und neuer Lizenz veröffentlicht werden, danach steht eine erneute FIPS-Zertifikation auf dem Plan.

Mirko Lindner

Bei einem persönlichen Treffen der leitenden OpenSSL-Entwickler, dem OpenSSL Management Committee (OMC), wurden einige Beschlüsse gefasst, die die Entwicklung von OpenSSL transparenter machen sollen. Das Treffen, bei dem die meisten OMC-Mitglieder zugegen waren, fand im Dezember bei Red Hat in London statt und wurde von Red Hat und Cryptsoft finanziert.

Eines der Ergebnisse des Treffens ist eine Anpassung des Veröffentlichungsplans. Sicherheits-Updates sollen künftig dienstags erscheinen statt am Wochenende, außer wenn die Veröffentlichung zeitkritisch ist. Damit soll dem Bedürfnis der Entwickler, am Wochenende auch einmal ausspannen zu können, Rechnung getragen werden. Die Sicherheitsrichtlinien des Projekts bleiben weiterhin in Kraft.

Eine neue Mailingliste »openssl-project« dient künftig zur Diskussion aller Leitungs- und Richtlinien-Themen von OpenSSL. Die Liste ist öffentlich, allerdings können nur die Mitglieder des OMC und Entwickler mit Commit-Rechten an die Liste schreiben. Damit soll die bisher weitgehend privat geführte Kommunikation öffentlich werden. Innerhalb des Projekts gibt es durchaus noch Bedenken, ob dies funktioniert. Das OMC betrachtet die Liste deshalb als Experiment und will, wenn nötig, Anpassungen vornehmen. Inhaltlich soll die Liste unter anderem auch OMC-Abstimmungsergebnisse und die Diskussion von Abstimmungen, Planung der kommenden Versionen von OpenSSL und die monatlichen Berichte der bezahlten OpenSSL-Entwickler umfassen.

Die Verwendung von Github soll verstärkt werden. Beobachtete Fehler in OpenSSL sollen jetzt auf Github gemeldet werden. Auch Vorschläge für Änderungen sollen als Github-Issues gemeldet und diskutiert werden. So soll sich die Gemeinschaft besser an Entwürfen und Vorschlägen beteiligen können. Die Mailingliste »openssl-dev« wird dagegen geschlossen, ihre Nutzer können auf »openssl-users« ausweichen, das ohnehin inhaltlich kaum von der eingestellten Liste unterscheidbar war.

Das Projekt will ferner seine »technischen Schulden« abbauen. Alte Fehlermeldungen sollen geschlossen werden. Der Quellcode wird weiter modernisiert und refaktorisiert (umstrukturiert), um ihn klarer und weniger fehleranfällig zu machen. Ein weiteres Ziel ist die Komplettierung der Dokumentation, die derzeit noch einige Funktionen undokumentiert lässt. Solche Dinge werden künftig mit dem Etikett »technical-debt« auf Github markiert.

Das Projekt arbeitet außerdem an einer Richtlinie für die Kryptografie, deren genaue Formulierung noch in der Diskussion ist. So sollen unsichere Konfigurationsoptionen nur noch durch einen beim Compilieren zu setzenden Schalter aktivierbar sein. Bei SSLv2 und geringen Schlüsselgrößen ist dies bereits umgesetzt. Ferner sollen sich alle neuen Algorithmen zur Compile-Zeit deaktivieren lassen. Die EVP-Funktionen sollen künftig die einzigen sein, über die Krypto-Operationen aufgerufen werden können. Allerdings müssen andere Schnittstellen aus Kompatibilitätsgründen beibehalten werden, so dass diese Regelung nur neue Algorithmen direkt betrifft. Ältere Schnittstellen können aber umgestellt werden, um intern die EVP-Funktionen zu nutzen.

In die Richtlinie soll auch die Forderung aufgenommen werden, dass alle Algorithmen und Protokolle von einer nationalen oder internationalen Standardbehörde standardisiert wurden. Mit anderen Worten, bei der Entscheidung, welche Algorithmen und Protokolle in OpenSSL existieren sollten, wollen sich die Entwickler auf anerkannte Experten verlassen.

Die nächste OpenSSL-Version 1.1.1 soll TLS 1.3 enthalten, kann aber deshalb erst erscheinen, wenn die Standardisierung von TLS 1.3 durch die IETF abgeschlossen ist. Die Entwickler empfehlen, vorbereitend alle Anwendungen auf OpenSSL 1.1.0 (von Ende August 2016) zu portieren, sofern das noch nicht geschehen ist. Die nächste Version soll außerdem die Lizenzänderung zur Apache 2.0-Lizenz enthalten. Details dazu soll es in einigen Wochen geben.

Nach Version 1.1.1 soll der Fokus der Entwickler auf einer neuerlichen FIPS-Zertifikation liegen, da dies für manche Anwender von großer Bedeutung ist. Die Zertifikation soll schneller kommen als bisher geplant. Auch hierzu wird es später mehr Informationen geben.

Werbung
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung