Code-Audit von OpenSSL startet

10.03.2015

Der Quellcode der OpenSSL-Bibliothek wird nun einer umfangreichen Sicherheitsüberprüfung unterzogen. 

Eine Gruppe von Experten, die sich unter dem Namen Cryptography Services versammeln, startet jetzt mit einem Code-Audit des OpenSSL-Quellcodes. OpenSSL ist eine der wichtigsten Kryptografie-Bibliotheken, die in einer Vielzahl anderer Projekte eingesetzt wird. Sensibilisiert durch den Heartbleed-Bug wurde von der Linux Foundation die Core Infrastructure Initiative gestartet, die jetzt auch den OpenSSL-Code-Audit finanziert. Initiiert wurde der Audit durch das Open Crypto Audit Project, das seinerseits durch einen Audit der Festplattenverschlüsselungssoftware Truecrypt bekannt wurde. 

Ein Audit von OpenSSL war bisher auch deshalb schwierig, weil der Quellcode eigenwilligen Formatierungsregeln folgte und schwer lesbar war. Nachdem die Code-Reformatierung nun abgeschlossen ist, kann der Audit durch Cryptography Services beginnen. Im Fokus stehen die TLS-Stacks, der Protokollfluss, Statusübergänge und Speichermanagement. Auch die I/O-Routinen und die wichtigsten Kryptoalgorithmen sollen untersucht werden. Die Parser für ASN.1 und x509 sollen mittels Fuzzying, also der Eingabe von Zufallsdaten, auf ihre Robustheit hin getestet werden. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Security-Audit: OpenVPN wird durchleuchtet

Die aktuelle Version von OpenVPN wird einem Code-Audit unterzogen. 

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020