F

Sind LibreSSL und BoringSSL sichere Alternativen für OpenSSL?

Seit der Heartbleed-Security-Lücke hat OpenSSL ordentlich an Ansehen verloren. LibreSSL und BoringSSL sind potenzielle Alternativen zu OpenSSL.

Google bringt einen eigenen OpenSSL-Fork, der sich BoringSSL nennt. OpenBSD hat das Gleiche mit LibreSSL getan. Wie lassen sich diese mit anderen verfügbaren Kryptografie-Bibliotheken vergleichen? Sind das sichere Alternativen zu OpenSSL? Gibt es etwas Neues, das Unternehmen in diesem Zusammenhang wissen sollten?

Jeder Internet-Anwender verlässt sich auf die Qualität und die Sicherheit von kryptografischen Software-Bibliotheken, die zum Schutz der Online-Daten und der Kommunikation verwendet werden. Das Ansehen der am häufigsten eingesetzten Kryptografie-Bibliothek OpenSSL hat nach der Enthüllung der Heartbleed-Security-Lücke allerdings massiven Schaden genommen. Erschwerend kamen noch die Einblicke hinzu, wie schlecht es um die Finanzierung für das Entwickler-Team steht, das den Code wartet.

Wenige Wochen nachdem die Sicherheitslücke publik wurde, hat OpenBSD-Gründer Theo de Raadt daher LibreSSL ins Leben gerufen. Es handelt sich dabei um einen Fork des OpenSSL-Projekts. Möglicherweise ist es sogar ein Ersatz. Es wird finanziell von der OpenBSD Foundation und dem OpenBSD Project unterstützt.

Google hat ebenfalls einen eigenen Fork von OpenSSL ins Leben gerufen, der sich BoringSSL nennt. Somit gibt es nun drei verschiedene Versionen von OpenSSL. Die Security-Teams in Unternehmen müssen die Unterschiede zwischen den Projekten kennen und schätzen lernen. Nur dann können Sie die beste Bibliothek für ihre speziellen Anforderungen wählen.

BoringSSL

Bis vor kurzer Zeit hat Google OpenSSL für seine Produkte verwendet. Dazu gehören auch Android und Chrome. Allerdings hat der Suchmaschinengigant mehr als 70 eigene Patches zusätzlich zum OpenSSL-Code einfließen lassen. Einige der Patches wurden im Haupt-Repository von OpenSSL akzeptiert. 

Viele sind allerdings ungeeignet, weil OpenSSL eine Verpflichtung hinsichtlich API- (Application Programming Interface) und ABI-Stabilität (Application Binary Interface) hat. Googles Patchwork-Version war unhandlich und schwierig zu warten. Deswegen hat Google OpenSSL geforkt. Nun kann man Änderungen von OpenSSL nach BoringSSL importieren und muss nicht die sowieso gepatchte Version entsprechend anpassen.

BoringSSL ist eine wesentlich leichtgewichtigere Version von OpenSSL. Es gibt allerdings keine Garantien hinsichtlich API- oder ABI-Stabilität, da Google wesentlich weniger alteingesessene Applikationen unterstützen muss. BoringSSL dürfte für alle ideal sein, die für die Plattformen Chrome und Android entwickeln. Ein direkter Ersatz für OpenSSL ist das aber nicht.

LibreSSL

LibreSSL wird auf der anderen Seite mit dem Ziel entwickelt, API- und ABI-Kompatibilität zu garantieren. Somit kann man es als Ersatz für OpenSSL betrachten. Das Ziel es, ist eine sauberere Version von OpenSSL zu entwickeln. Gleichzeitig möchte man die Kompatibilität aufrechterhalten. 

Tools wie Coverity und Valgrind sollen für Speicher-Debugging und Leck-Erkennung eingesetzt werden. Weiterhin wollen die Entwickler damit Bugs in der riesigen Code-Basis lokalisieren. Viel veralteter Code wurde bereits entfernt und andere Bereiche haben die Entwickler mithilfe moderner C-Programmier-Praktiken neu geschrieben. Dazu gehören sichere Speicherzuweisung und die Vermeidung von Integer Overflows.

Fazit

Unternehmen sollten warten, bis es stabile Versionen dieser OpenSSL-Alternativen gibt. Erst danach kann man damit experimentieren und eventuell umstellen. Das Internet wird sicherlich davon profitieren, dass drei verschiedene Entwickler-Teams an entscheidender und wichtiger Kryptografie-Software arbeiten. 

Möglicherweise kommen so auch Bugs ans Tageslicht, die ein Entwickler-Team übersehen hätte. Alle drei Projekte sind Open-Source und somit besteht die Möglichkeit, die Bug-Informationen und Patches gemeinsam zu nutzen. Google sponsert weiterhin die OpenBSD Foundation und die Core Infrastructure Initiative. Letztere unterstützt wiederum das OpenSSL-Projekt und stellt 100.000 US-Dollar für die Finanzierung von zwei Vollzeit-Entwicklern zur Verfügung bereit, die an OpenSSL arbeiten.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close