OpenSSL

Aus Foxwiki

OpenSSL - Freie Software für Transport Layer Security

Beschreibung

OpenSSL umfasst

Die in C geschriebene Basisbibliothek stellt allgemeine kryptographische Funktionen zum Ver- und Entschlüsseln sowie diverse weitere Werkzeuge bereit.

Lizenz

OpenSSL steht unter der Lizenz von SSLeay und seiner eigenen Lizenz, die zusammengefasst gelten.

  • Beide sind der ursprünglichen BSD-Lizenz ähnlich.
  • Die wesentliche Einschränkung ist demzufolge, dass Werbung für Fremdprodukte, die OpenSSL enthalten, OpenSSL und die beiden Urheber von SSLeay erwähnen muss.

Ab Version 3.0.0 steht OpenSSL unter der Apache-2.0-Lizenz, um die Verwendung in anderen Open-Source-Projekten zu vereinfachen.

Geschichte

SSLeay ermöglichte Mitte der 1990er Jahre, SSL auch außerhalb der USA mit starker Verschlüsselung einzusetzen, weil diese Implementierung in Australien entstand und somit keinen Exportbeschränkungen unterlag.

  • Den Namen der Software bildeten die Initialen des Netzwerkprotokolls und des Programmierers.
  • Eric A.
  • Young hatte zuvor an Implementierungen von Kerberos und DES gearbeitet.
  • Zu diesem neuen Projekt regte ihn 1995 sein Freund Tim J. Hudson an.
  • Hudson trug auch maßgeblich zum Projekt bei, indem er zugehörige Patches für andere freie Software und für Windows programmierte.

Die Version SSLeay 0.9.1b vom Sommer 1998 wurde nicht mehr veröffentlicht, sondern von einem neuen Team bis Dezember 1998 weiterentwickelt und als OpenSSL 0.9.1c veröffentlicht.

  • Ralf S.  Engelschall, Mitbegründer dieser Gruppe, beschreibt die Entwicklung von OpenSSL als Voraussetzung für die Schaffung von mod_ssl, dem meistgenutzten Verschlüsselungsmodul für Apache-Webserver.
  • Im Gegensatz zu diesem praktisch fertigen Modul, das nur noch gewartet zu werden brauche, sei die Entwicklung bei OpenSSL noch nicht abgeschlossen.
  • Stattdessen würden engagierte, freie Programmierer weiterhin Applikationen entwerfen und dabei auf den bereits etablierten Basisfunktionen von OpenSSL aufbauen.

Abspaltungen

2014 kam es in der Folge des Heartbleed-Bug zu mehreren Abspaltungen.

  • Aufgrund der Komplexität des über viele Jahre gewachsenen Projektes und damit einher gehender Schwierigkeiten bei der Auditierung auf Sicherheitslücken entschlossen sich die Entwickler des Betriebssystems OpenBSD um Theo de Raadt zur Veröffentlichung einer OpenSSL-Version mit halbiertem Code-Umfang unter dem Namen LibreSSL.

Auch Google benutzt und veröffentlicht seitdem einen eigenen Fork von OpenSSL unter dem Namen BoringSSL.

  • Dieser kommt u. a. in Chrome und Android zum Einsatz.

FIPS-140-2-Zertifizierung

OpenSSL ist das erste nach FIPS 140-2 zertifizierte Open-Source-Programm.

Die Freigabe wurde im Januar 2006 erteilt.

  • Im Juni wurde sie vorläufig wieder zurückgezogen, jedoch am 16. Februar 2007 wieder erteilt.
  • Nach Aussage von John Weathersby vom Open Source Software Institute (OSSI) war das Problem „politischer Natur“ (im Original: Vorlage:Lang), da eine vergleichbare Zertifizierung kommerzielle Anbieter erhebliches Geld kostet.
  • Bezahlt wurde der Prozess vom amerikanischen Verteidigungsministerium und interessierten Firmen, die sich von einer freien Lösung finanzielle Einsparungen sowie Standardisierung erhofften.


Anhang

Siehe auch

Links

Projekt
  1. https://www.openssl.org
Weblinks
  1. OpenSSL-Installer (Windows)
  2. OpenSSL für OpenVMS auf IA-64, VAX und Alpha-Prozessor
  3. Ein Linux-OpenSSL-Tutorial
  4. Anleitung zum Erstellen eigener X.509-Zertifikate mittels OpenSSL