Software::Security
OpenSSL ein Jahr nach »Heartbleed«
Das OpenSSL-Projekt hat dank der Unterstützung der Linux Foundation neuen Schwung gewonnen. Neben den noch laufenden Code-Verbesserungen wird zur Zeit auch ein externer Code-Audit durchgeführt.
Codenomicon - www.codenomicon.com
OpenSSL: Schwerwiegender Fehler Heartbleed
Der katastrophale Fehler
»Heartbleed« in OpenSSL im April 2014 führte zu diversen schnellen Reaktionen. Eine davon war die Gründung der
Core Infrastructure Initiative durch die
Linux Foundation. Diese stellt einen Fonds von einigen Millionen US-Dollar bereit, der Projekte unterstützen soll, die für das ganze Internet oder ganze Industrien kritisch sind und dringend Geld benötigen. Erster Nutznießer des Fonds war
OpenSSL. Bis zu »Heartbleed« wurde das Projekt nach Angaben eines Entwicklers nur von wenigen Personen überwiegend in ihrer Freizeit betreut, dabei könnte es durchaus ein halbes Dutzend Vollzeitentwickler gebrauchen.
Im Zuge der Unterstützung durch die Core Infrastructure Initiative (CII) konnten die Entwickler zunächst einen Projektplan erarbeiten, der acht Problembereiche im OpenSSL-Projekt identifizierte und Wege zu ihrer Lösung aufzeigte. Seit rund einem Jahr wird inzwischen daran gearbeitet. Ein längerer Artikel auf Threatpost.com gibt nun Einblicke, was bisher erreicht wurde.
Zunächst konnten mit der Finanzhilfe der CII zwei der Entwickler, Steve Henson und Andy Polyako, Vollzeitstellen antreten. Sie sind unter anderem mit der umfangreichen Aufgabe betraut, den Code, der über die Jahre immer schwerer verständlich wurde, zu refaktorisieren. Zur Zeit hat die Überarbeitung des TLS-Zustandsautomaten höchste Priorität. Die FREAK-Sicherheitslücke, die Anfang März entdeckt wurde, resultierte aus Fehlern in diesem höchst komplexen Code, der nun sehr viel klarer gemacht werden soll. Nebenbei laufen auch diverse andere Verbesserungen, die im Projektplan festgeschrieben wurden. So wird die Dokumentation verbessert, die Komplexität reduziert, und Code-Reviews werden vorgenommen. Neu eingebrachte Patches werden zügig bearbeitet.
Inzwischen wurde auch der erste externe Audit des Codes gestartet. Ergebnisse sind in einigen Monaten zu erwarten. Regelmäßige automatisierte Prüfungen des Codes mit Analysewerkzeugen stehen ebenfalls auf dem Plan. Generell wird OpenSSL, auch wenn der Code selbst schrecklich aussieht, eine sehr hohe Qualität der Krypto-Implementation attestiert. Fehler, die die Kryptografie aushebeln, sind eher im ebenso notwendigen Code um die Krypto-Funktionen herum zu erwarten.
Nachdem in der Folge des Heartbleed-Fehlers zahlreiche Spenden bei OpenSSL eingegangen waren, ist das Spendenaufkommen schnell wieder auf das übliche Niveau gefallen. Das freie Projekt rechnet mit rund 2.000 US-Dollar an Spenden pro Jahr. Nur dank der CII können einige Entwickler weiter in Vollzeit an OpenSSL arbeiten.
){kind=small}
