Zum Inhalt springen

„OpenSSL“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][gesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
Alexbot (Diskussion | Beiträge)
135.473 Bearbeitungen
K Bot: Ergänze: ko:OpenSSL
Sicherheitslücke in Debian-Paketen: Auf Erstquelle; Blog bezog sich auf diesen.
Zeile 28: Zeile 28:
Die Sicherheitslücke entstand beim Versuch, eine Warnmeldung einer Codeprüfungs-Software zu beseitigen. Dabei sollte eine wenig relevante Codezeile, welche die Warnung verursachte, entfernt werden, allerdings wurde auch ein zweites Vorkommen dieser Zeile entfernt, welche in einem anderen Kontext stand und eine völlig andere Bedeutung hatte.
Die Sicherheitslücke entstand beim Versuch, eine Warnmeldung einer Codeprüfungs-Software zu beseitigen. Dabei sollte eine wenig relevante Codezeile, welche die Warnung verursachte, entfernt werden, allerdings wurde auch ein zweites Vorkommen dieser Zeile entfernt, welche in einem anderen Kontext stand und eine völlig andere Bedeutung hatte.


Die entsprechenden Schlüsselpaare sind leicht angreifbar, da es möglich ist, sämtliche in Frage kommenden privaten Schlüssel innerhalb weniger Tage zu berechnen. Für die betroffenen SSH-Schlüssel existiert ein frei herunterladbares Paket im Internet. Durch diesen Fehler waren und sind SSL-Verbindungen zu vielen Servern gegenüber [[Man-in-the-middle-Angriff]]en verwundbar. Verbindungen zu Servern, die jemals ein Zertifikat mit einem schwachen Schlüssel aufwiesen, sind solange angreifbar, bis die Zertifikate ablaufen oder wirksam widerrufen werden. Dabei ist zu beachten, dass viele [[Browser]] nicht auf widerrufene Zertifikate prüfen. Besonders prominent in diesem Zusammenhang war ein verwundbarer Server des Dienstleisters [[Akamai]]<ref>http://blog.fefe.de/?ts=b6c9ec7e</ref>, welcher unter anderem für die Bereitstellung der [[ELSTER]]-Software des deutschen Finanzamts<ref>Downloadlink auf https://www.elster.de/elfo_down4.php?who=2007/2008</ref> sowie von Treiber-Updates von ATI<ref>Downloadlink auf http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp64/theater550-xp64</ref> verantwortlich ist.
Die entsprechenden Schlüsselpaare sind leicht angreifbar, da es möglich ist, sämtliche in Frage kommenden privaten Schlüssel innerhalb weniger Tage zu berechnen. Für die betroffenen SSH-Schlüssel existiert ein frei herunterladbares Paket im Internet. Durch diesen Fehler waren und sind SSL-Verbindungen zu vielen Servern gegenüber [[Man-in-the-middle-Angriff]]en verwundbar. Verbindungen zu Servern, die jemals ein Zertifikat mit einem schwachen Schlüssel aufwiesen, sind solange angreifbar, bis die Zertifikate ablaufen oder wirksam widerrufen werden. Dabei ist zu beachten, dass viele [[Browser]] nicht auf widerrufene Zertifikate prüfen. Besonders prominent in diesem Zusammenhang war ein verwundbarer Server des Dienstleisters [[Akamai]]<ref>[https://www.elster.de/anwenderforum/archive/index.php/t-19451.html Elster-Anwender Seite]</ref>, welcher unter anderem für die Bereitstellung der [[ELSTER]]-Software des deutschen Finanzamts<ref>Downloadlink auf https://www.elster.de/elfo_down4.php?who=2007/2008</ref> sowie von Treiber-Updates von ATI<ref>Downloadlink auf http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp64/theater550-xp64</ref> verantwortlich ist.


== Quellen ==
== Quellen ==

Version vom 22. Oktober 2009, 21:42 Uhr

OpenSSL

Basisdaten

Entwickler OpenSSL Core and Development Team
Erscheinungsjahr 1998
Aktuelle Version 0.9.8k
(25. März 2009)
Aktuelle Vorabversion 1.0.0 Beta3
(15. Juli 2009)
Betriebssystem Linux, Unix, Mac OS X, Windows
Programmier­sprache C[1], Assemblersprache, Perl
Kategorie Kryptografie
Lizenz ähnlich der ASL
deutschsprachig nein
www.openssl.org

OpenSSL ist eine freie Implementierung des SSL/TLS-Protokolls und bietet darüber hinaus weitergehende Funktionen zur Zertifikatsverwaltung und zu unterschiedlichen kryptographischen Funktionen. Es basiert auf dem SSLeay-Paket, das von Eric A. Young und Tim Hudson entwickelt wurde, und wird zurzeit von einer unabhängigen Gruppe weiterentwickelt.

OpenSSL umfasst verschiedene Applikationen, beispielsweise zur Erzeugung von Zertifikaten, von Zertifizierungsanträgen und zur Verschlüsselung. Die verschiedenen Applikationen sind zusammengefasst im Kommandozeilen-Programm openssl.

FIPS-140-2-Zertifizierung

OpenSSL ist das erste nach FIPS 140-2 zertifizierte Open-Source-Programm. Hierbei handelt es sich um einen Sicherheitsstandard, den das National Institute of Standards and Technology (NIST) für das Cryptographic Module Validation Program festgelegt hat.

Die Freigabe wurde im Januar 2006 erteilt. Im Juni wurde sie vorläufig wieder zurückgezogen, jedoch am 16. Februar 2007 wieder erteilt. Nach Aussage von John Weathersby vom Open Source Software Institute (OSSI) war das Problem „politischer Natur“ (im original: a political challenge), da eine vergleichbare Zertifizierung kommerzielle Anbieter erhebliches Geld kostet. Bezahlt wurde der Prozess vom amerikanischen Verteidigungsministerium und interessierten Firmen, die sich von einer freien Lösung finanzielle Einsparungen sowie Standardisierung erhoffen.[2]

Sicherheitslücke in Debian-Paketen

Am 13. Mai 2008 gab das Debian-Projekt bekannt, dass das OpenSSL-Paket der Distributionen seit 17. September 2006 (Version 0.9.8c-1 bis 0.9.8g-9) eine Sicherheitslücke enthielt. Durch einen Fehler in einem Debian-spezifischen Patch sind die mit dem in diesen Paketen enthaltenen Zufallszahlengenerator erzeugten Schlüssel vorhersagbar. Davon betroffen seien SSH-, OpenVPN-, DNSSEC-Schlüssel, Schlüssel in X.509-Zertifikaten sowie Sitzungsschlüssel, die in SSL/TLS-Verbindungen (HTTPS) genutzt werden. Schlüssel die mit GnuPG oder GnuTLS erzeugt wurden seien nicht betroffen.[3]

Die Sicherheitslücke entstand beim Versuch, eine Warnmeldung einer Codeprüfungs-Software zu beseitigen. Dabei sollte eine wenig relevante Codezeile, welche die Warnung verursachte, entfernt werden, allerdings wurde auch ein zweites Vorkommen dieser Zeile entfernt, welche in einem anderen Kontext stand und eine völlig andere Bedeutung hatte.

Die entsprechenden Schlüsselpaare sind leicht angreifbar, da es möglich ist, sämtliche in Frage kommenden privaten Schlüssel innerhalb weniger Tage zu berechnen. Für die betroffenen SSH-Schlüssel existiert ein frei herunterladbares Paket im Internet. Durch diesen Fehler waren und sind SSL-Verbindungen zu vielen Servern gegenüber Man-in-the-middle-Angriffen verwundbar. Verbindungen zu Servern, die jemals ein Zertifikat mit einem schwachen Schlüssel aufwiesen, sind solange angreifbar, bis die Zertifikate ablaufen oder wirksam widerrufen werden. Dabei ist zu beachten, dass viele Browser nicht auf widerrufene Zertifikate prüfen. Besonders prominent in diesem Zusammenhang war ein verwundbarer Server des Dienstleisters Akamai[4], welcher unter anderem für die Bereitstellung der ELSTER-Software des deutschen Finanzamts[5] sowie von Treiber-Updates von ATI[6] verantwortlich ist.

Quellen

  1. The openssl Open Source Project on Open Hub: Languages Page. In: Open Hub. (abgerufen am 18. Juli 2018).
  2. http://www.gcn.com/online/vol1_no1/43142-1.html
  3. http://www.debian.org/security/2008/dsa-1571
  4. Elster-Anwender Seite
  5. Downloadlink auf https://www.elster.de/elfo_down4.php?who=2007/2008
  6. Downloadlink auf http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp64/theater550-xp64
Abgerufen von „https://de.wikipedia.org/w/index.php?title=OpenSSL&oldid=65891055