OpenSSL
| OpenSSL | |
|---|---|
| Entwickler | OpenSSL Development Team |
| Aktuelle Version | 1.0.1e (11. Februar 2013) |
| Betriebssystem | Unix-ähnlich, Windows |
| Programmiersprache | C |
| Kategorie | Kryptografie |
| Lizenz | ähnlich BSD |
| Deutschsprachig | nein |
| www.openssl.org | |
OpenSSL, ursprünglich SSLeay, ist eine freie Software für Transport Layer Security, ursprünglich Secure Sockets Layer (SSL).
OpenSSL umfasst Implementierungen der Netzwerkprotokolle und verschiedener Verschlüsselungen sowie das Programm openssl für die Kommandozeile zum Beantragen, Erzeugen und Verwalten von Zertifikaten.
Inhaltsverzeichnis |
Geschichte[Bearbeiten]
SSLeay ermöglichte Mitte der 1990er Jahre, SSL auch außerhalb der USA mit starker Verschlüsselung einzusetzen, weil diese Implementierung in Australien entstand und somit keinen Exportbeschränkungen unterlag.[1] Den Namen der Software bildeten die Initialen des Netzwerkprotokolls und des Programmierers. Eric A. Young hatte zuvor an Implementierungen von Kerberos und DES gearbeitet.[2] Zu diesem neuen Projekt regte ihn 1995 sein Freund Tim J. Hudson an.[3] Hudson trug auch maßgeblich zum Projekt bei, indem er zugehörige Patches für andere freie Software und für Windows programmierte.[1][4]
Die Version SSLeay 0.9.1b vom Sommer 1998 wurde nicht mehr veröffentlicht, sondern von einem neuen Team bis Dezember 1998 weiterentwickelt und als OpenSSL 0.9.1c veröffentlicht.[5] Ralf S. Engelschall, Mitbegründer dieser Gruppe, beschreibt die Entwicklung von OpenSSL als Voraussetzung für die Schaffung von mod_ssl, das am meisten genutzte Verschlüsselungsmodul für Apache-Webserver. Im Gegensatz zur praktisch finalen mod_ssl, die nur noch der Wartung bedürfe, sei die Entwicklung bei OpenSSL jedoch noch nicht abgeschlossen. Stattdessen würden engagierte, freie Programmierer weiterhin Applikationen entwerfen und dabei auf den bereits etablierten Basisfunktionen von OpenSSL aufbauen.[6]
FIPS-140-2-Zertifizierung[Bearbeiten]
OpenSSL ist das erste nach FIPS 140-2 zertifizierte Open-Source-Programm. Hierbei handelt es sich um einen Sicherheitsstandard, den das National Institute of Standards and Technology (NIST) für das Cryptographic Module Validation Program festgelegt hat.
Die Freigabe wurde im Januar 2006 erteilt. Im Juni wurde sie vorläufig wieder zurückgezogen, jedoch am 16. Februar 2007 wieder erteilt. Nach Aussage von John Weathersby vom Open Source Software Institute (OSSI) war das Problem „politischer Natur“ (im original: a political challenge), da eine vergleichbare Zertifizierung kommerzielle Anbieter erhebliches Geld kostet. Bezahlt wurde der Prozess vom amerikanischen Verteidigungsministerium und interessierten Firmen, die sich von einer freien Lösung finanzielle Einsparungen sowie Standardisierung erhofften.[7]
Sicherheitslücke in Debian-Paketen[Bearbeiten]
Am 13. Mai 2008 gab das Debian-Projekt bekannt, dass das OpenSSL-Paket der Distributionen seit 17. September 2006 (Version 0.9.8c-1 bis 0.9.8g-9) eine Sicherheitslücke enthielt. Durch einen Fehler in einem Debian-spezifischen Patch sind die mit dem in diesen Paketen enthaltenen Zufallszahlengenerator erzeugten Schlüssel vorhersagbar. Davon betroffen seien SSH-, OpenVPN-, DNSSEC-Schlüssel, Schlüssel in X.509-Zertifikaten sowie Sitzungsschlüssel, die in SSL/TLS-Verbindungen (HTTPS) genutzt werden. Schlüssel, die mit GnuPG oder GnuTLS erzeugt wurden, seien nicht betroffen.[8]
Die Sicherheitslücke entstand beim Versuch, eine Warnmeldung einer Codeprüfungs-Software zu beseitigen. Dabei sollte eine wenig relevante Codezeile, welche die Warnung verursachte, entfernt werden, allerdings wurde auch ein zweites Vorkommen dieser Zeile entfernt, welche in einem anderen Kontext stand und eine völlig andere Bedeutung hatte.
Die entsprechenden Schlüsselpaare sind leicht angreifbar, da es möglich ist, sämtliche in Frage kommenden privaten Schlüssel innerhalb weniger Tage zu berechnen. Für die betroffenen SSH-Schlüssel existiert ein frei herunterladbares Paket im Internet. Durch diesen Fehler waren und sind SSL-Verbindungen zu vielen Servern gegenüber Man-in-the-middle-Angriffen verwundbar. Verbindungen zu Servern, die jemals ein Zertifikat mit einem schwachen Schlüssel aufwiesen, sind solange angreifbar, bis die Zertifikate ablaufen oder wirksam widerrufen werden. Dabei ist zu beachten, dass viele Browser nicht auf widerrufene Zertifikate prüfen. Besonders prominent in diesem Zusammenhang war ein verwundbarer Server des Dienstleisters Akamai[9], welcher unter anderem für die Bereitstellung der ELSTER-Software der deutschen Finanzämter[10] sowie von Treiber-Updates von ATI[11] verantwortlich ist.
Lizenz[Bearbeiten]
OpenSSL steht unter der Lizenz von SSLeay und seiner eigenen Lizenz, die zusammengefasst gelten.[12] Beide sind der ursprünglichen BSD-Lizenz ähnlich.[4] Die wesentliche Einschränkung ist demzufolge, dass Werbung für Fremdprodukte, die OpenSSL enthalten, OpenSSL und die beiden Urheber von SSLeay erwähnen muss.
Versionsgeschichte[Bearbeiten]
Ältere Version; nicht mehr unterstützt
Ältere Version; noch unterstützt
Aktuelle Version
Aktuelle Vorabversion
Zukünftige Version
Diese Übersicht beinhaltet Auszüge aus dem "ChangeLog" sowie dem "Project State"[5]
0.9.1 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 0.9.1b | – | [nicht veröffentlicht] | |
| 0.9.1c | 23. Dezember 1998 |
0.9.2 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 0.9.2c | 22. März 1999 | Nachfolger von 0.9.1c |
0.9.3 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 0.9.3 | 23. Mai 1999 | Nachfolger von 0.9.2b | |
| 0.9.3a | 29. Mai 1999 |
0.9.4 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 0.9.4 | 9. August 1999 | Nachfolger von 0.9.3a |
0.9.5 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 0.9.5 | 28. Februar 2000 | Nachfolger von 0.9.4 | |
| 0.9.5a | 1. April 2000 |
0.9.6 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 0.9.6 | 24. September 2000 | Nachfolger von 0.9.5a | |
| 0.9.6m | 17. März 2007 |
0.9.7 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 0.9.7 | 31. Dezember 2002 | Nachfolger von 0.9.6h | |
| 0.9.7a | 19. Februar 2003 | ||
| 0.9.7b | 10. April 2003 | ||
| 0.9.7c | 30. September 2003 | ||
| 0.9.7d | 17. März 2004 | ||
| 0.9.7e | 25. Oktober 2004 | ||
| 0.9.7f | 22. März 2005 | ||
| 0.9.7g | 11. April 2005 | ||
| 0.9.7h | 11. Oktober 2005 | ||
| 0.9.7i | 14. Oktober 2005 | ||
| 0.9.7j | 4. Mai 2006 | ||
| 0.9.7k | 5. September 2006 | ||
| 0.9.7l | 28. September 2006 | ||
| 0.9.7m | 23. Februar 2007 |
0.9.8 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 0.9.8 | 5. Juli 2005 | Nachfolger von 0.9.7h | |
| 0.9.8a | 11. Oktober 2005 | ||
| 0.9.8b | 4. Mai 2006 | ||
| 0.9.8c | 5. September 2006 | ||
| 0.9.8d | 28. September 2006 | ||
| 0.9.8e | 23. Februar 2007 | ||
| 0.9.8f | 11. Oktober 2007 | ||
| 0.9.8g | 19. Oktober 2007 | ||
| 0.9.8h | 28. Mai 2008 | ||
| 0.9.8i | 15. September 2008 | ||
| 0.9.8j | 7. Januar 2009 | ||
| 0.9.8k | 25. März 2009 | ||
| 0.9.8l | 5. November 2009 | ||
| 0.9.8m | 25. Februar 2010 | ||
| 0.9.8n | 24. März 2010 | ||
| 0.9.8o | 1. Juni 2010 | ||
| 0.9.8p | 16. November 2010 | ||
| 0.9.8q | 2. Dezember 2010 | ||
| 0.9.8r | 8. Februar 2011 | ||
| 0.9.8s | 4. Januar 2012 | ||
| 0.9.8t | 18. Januar 2012 | ||
| 0.9.8u | 12. März 2012 | ||
| 0.9.8v | 19. April 2012 | ||
| 0.9.8w | 24. April 2012 | ||
| 0.9.8x | 10. Mai 2012 | ||
| 0.9.8y | 5. Februar 2013 |
1.0.0 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 1.0.0 | 29. März 2010 | ||
| 1.0.0d | 8. Februar 2011 | ||
| 1.0.0e | 6. September 2011 | Add protection against ECDSA timing attacks as mentioned in the paper by Billy Bob Brumley and Nicola Tuveri, see: http://eprint.iacr.org/2011/232.pdf | |
| 1.0.0f | 4. Januar 2012 | ||
| 1.0.0g | 18. Januar 2012 | ||
| 1.0.0h | 12. März 2012 | ||
| 1.0.0i | 19. April 2012 | ||
| 1.0.0j | 10. Mai 2012 | ||
| 1.0.0k | 5. Februar 2013 |
1.0.1 – Versionen[Bearbeiten]
| OpenSSL-Version | Erscheinungsdatum | Anmerkung | Referenz |
|---|---|---|---|
| 1.0.1 | 14. März 2012 | Nachfolger von 1.0.0e
|
|
| 1.0.1a | 19. April 2012 | ||
| 1.0.1b | 26. April 2012 | ||
| 1.0.1c | 10. Mai 2012 | ||
| 1.0.1d | 5. Februar 2013 | ||
| 1.0.1e | 11. Februar 2013 |
Weblinks[Bearbeiten]
- Offizielle Homepage
- OpenSSL-Installer (Windows)
- Ein Linux-OpenSSL-Tutorial
- Apache mit mod_ssl und OpenSSL
- Anleitung zum Erstellen eigener X.509-Zertifikate mittels OpenSSL
Einzelnachweise[Bearbeiten]
- ↑ a b Secure Socket Layer: Encode and certify with SSLeay. Verlag Heinz Heise. 1996. Abgerufen am 5. Dezember 2011.
- ↑ Eric Young. EMC Corporation. Abgerufen am 5. Dezember 2011.
- ↑ SSLeay 0.6.6.docs. University of Michigan. Abgerufen am 5. Dezember 2011.
- ↑ a b License. OpenSSL Project. Abgerufen am 28. November 2011.
- ↑ a b ChangeLog. OpenSSL, Dezember 2010, abgerufen am 10. August 2011.
- ↑ Im Interview: Ralf S. Engelschall – der deutsche Open-Source-Guru. Netzwelt.de, 9. August 2010, abgerufen am 11. Januar 2011.
- ↑ http://www.gcn.com/online/vol1_no1/43142-1.html
- ↑ http://www.debian.org/security/2008/dsa-1571
- ↑ //blog.fefe.de/?ts=b6c9ec7e
- ↑ Downloadlink auf https://www.elster.de/elfo_down4.php
- ↑ Downloadlink auf http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp64/theater550-xp64
- ↑ Various Licenses and Comments about Them. Free Software Foundation. Abgerufen am 28. November 2011.
