• IT-Karriere:
  • Services:

Nach OpenSSL-Fork: LibreSSL-Entwickler ziehen erstes Fazit

Einen Monat nach dem OpenSSL-Fork gibt OpenBSD-Foundation-Vorstand Bob Beck einen Lagebericht ab. Das Projekt suche weiter nach einer Finanzierung, habe den Code aber weiter verbessert und Fehler behoben.

Artikel veröffentlicht am ,
Für LibreSSL gibt es viele konkrete Pläne.
Für LibreSSL gibt es viele konkrete Pläne. (Bild: Bob Beck)

Nach Bekanntwerden der Heartbleed-Lücke in OpenSSL überprüften die OpenBSD-Entwickler den Code, kamen dabei zu dem Schluss, dass dieser nicht zu reparieren sei, und gründeten den Fork LibreSSL. Der Vorstand der OpenBSD-Foundation, Bob Beck, zieht nun etwa einen Monat nach dem Entstehen von LibreSSL auf der Konferenz BSDCan 2014 eine weitgehend positive Bilanz.

OpenSSL ist weiter problematisch

Stellenmarkt
  1. Compana Software GmbH, Feucht
  2. operational services GmbH & Co. KG, Berlin, Dresden, Frankfurt am Main, München

Zu OpenSSL erläutert Beck, dass vorhandener Code, der Fehler behebe, nicht eingepflegt würde. Darüber hinaus seien die Probleme mit der internen Speicherzuweisung bereits seit vier Jahren bekannt. Zudem habe die OpenSSL-Foundation den Anschein eines gewinnorientierten Unternehmens, das FIPS-Beratungen vornehme.

Ziel sei es weiterhin, Fehler zu beheben, mehr Entwickler für den Code zu finden sowie die API und ABI zu OpenSSL stabil zu halten, was aber nicht immer einfach sei. Ebenso sei aber auch viel Code entfernt worden, etwa der "#ifdef Horror". Außerdem hätten die Entwickler sämtliche Quellen für Entropy auf das Betriebssystem ausgelagert.

Als Quelle für mögliche Fehler diene den LibreSSL-Entwicklern der OpenSSL-Bugtracker. Das OpenBSD-Team habe viele Fehler daraus behoben und Nutzer fragten mittlerweile das LibreSSL-Team direkt, gefundene Fehler zu beheben.

Neues für LibreSSL

Das LibreSSL-Team habe verschiedene neue Cipher in den Code integriert, dazu zählten Brainpool, Chacha oder Poly1305. Darüber hinaus strebe LibreSSL nicht an, FIPS-Algorithmen zu verwenden, da dies "schädlich für die Sicherheit der Bibliothek sei."

Zusätzlich plane das Team, die API zu verkleinern, nichtkryptografische Bestandteile aus Libcrypto zu entfernen sowie diese selbst von Libssl zu trennen. Einige größere Teile des Codes müssten außerdem komplett neu geschrieben werden. Um das zu finanzieren, suche die OpenBSD-Foundation nach wie vor nach Sponsoren. Es sollen mehrere Entwickler entscheidende Stellen der Software neu schreiben und auch die Portierbarkeit des Codes soll von dem Sponsoring profitieren. Zwar habe das Team dazu die Linux-Foundation angefragt, die habe das jedoch bisher abgelehnt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-10%) 17,99€
  2. 1,99€
  3. 0,99€
  4. 21,49€

daniel.ranft 21. Mai 2014

Oh was ich den Beitrag feiere :) Echt cooler Stil

GodsBoss 20. Mai 2014

Da dürften doch haufenweise Schnittstellen anders sein. Ich nehme mal an, würde man...

GodsBoss 20. Mai 2014

Aus dem Artikel: "Zu OpenSSL erläutert Beck, dass vorhandener Code, der Fehler behebe...

bstea 20. Mai 2014

Was heißt hier dreist? Der Müll existiert seit Jahren nur kann man eben nicht jedes...


Folgen Sie uns
       


Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


    Videospiellokalisierung: Lost in Translation
    Videospiellokalisierung
    Lost in Translation

    Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
    Von Nadine Emmerich

    1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
    2. Planet Zoo im Test Tierische Tüftelei
    3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

      •  /