Code-Audit von OpenSSL startet
Der Quellcode der OpenSSL-Bibliothek wird nun einer umfangreichen Sicherheitsüberprüfung unterzogen.
Eine Gruppe von Experten, die sich unter dem Namen Cryptography Services versammeln, startet jetzt mit einem Code-Audit des OpenSSL-Quellcodes. OpenSSL ist eine der wichtigsten Kryptografie-Bibliotheken, die in einer Vielzahl anderer Projekte eingesetzt wird. Sensibilisiert durch den Heartbleed-Bug wurde von der Linux Foundation die Core Infrastructure Initiative gestartet, die jetzt auch den OpenSSL-Code-Audit finanziert. Initiiert wurde der Audit durch das Open Crypto Audit Project, das seinerseits durch einen Audit der Festplattenverschlüsselungssoftware Truecrypt bekannt wurde.
Ein Audit von OpenSSL war bisher auch deshalb schwierig, weil der Quellcode eigenwilligen Formatierungsregeln folgte und schwer lesbar war. Nachdem die Code-Reformatierung nun abgeschlossen ist, kann der Audit durch Cryptography Services beginnen. Im Fokus stehen die TLS-Stacks, der Protokollfluss, Statusübergänge und Speichermanagement. Auch die I/O-Routinen und die wichtigsten Kryptoalgorithmen sollen untersucht werden. Die Parser für ASN.1 und x509 sollen mittels Fuzzying, also der Eingabe von Zufallsdaten, auf ihre Robustheit hin getestet werden.
Ähnliche Artikel
-
Security-Audit: OpenVPN wird durchleuchtet
Die aktuelle Version von OpenVPN wird einem Code-Audit unterzogen.
-
LibreSSL neu, Bug in OpenSSL
Eine neue Version der alternativen SSL/TLS-Implementation ist erschienen. Gleichzeitig wurde ein neuer Bug in OpenSSL gefunden.
-
Mozilla fördert Open-Source-Projekte
Die Mozilla Foundation übergibt mehr als eine halbe Million US-Dollar an bedürftige Open-Source-Projekte.
-
Logdaten zentral und sicher speichern
-
Alpine Linux wechselt zu LibreSSL
Die Alpine-Entwickler haben genug von den OpenSSL-Sicherheitslücken.
Security-Audit: OpenVPN wird durchleuchtet
Die aktuelle Version von OpenVPN wird einem Code-Audit unterzogen.
Konfigurationsmanagement
Themen
