Abo
  • Services:
Anzeige
Für LibreSSL gibt es viele konkrete Pläne.
Für LibreSSL gibt es viele konkrete Pläne. (Bild: Bob Beck)

Nach OpenSSL-Fork: LibreSSL-Entwickler ziehen erstes Fazit

Einen Monat nach dem OpenSSL-Fork gibt OpenBSD-Foundation-Vorstand Bob Beck einen Lagebericht ab. Das Projekt suche weiter nach einer Finanzierung, habe den Code aber weiter verbessert und Fehler behoben.

Anzeige

Nach Bekanntwerden der Heartbleed-Lücke in OpenSSL überprüften die OpenBSD-Entwickler den Code, kamen dabei zu dem Schluss, dass dieser nicht zu reparieren sei, und gründeten den Fork LibreSSL. Der Vorstand der OpenBSD-Foundation, Bob Beck, zieht nun etwa einen Monat nach dem Entstehen von LibreSSL auf der Konferenz BSDCan 2014 eine weitgehend positive Bilanz.

OpenSSL ist weiter problematisch

Zu OpenSSL erläutert Beck, dass vorhandener Code, der Fehler behebe, nicht eingepflegt würde. Darüber hinaus seien die Probleme mit der internen Speicherzuweisung bereits seit vier Jahren bekannt. Zudem habe die OpenSSL-Foundation den Anschein eines gewinnorientierten Unternehmens, das FIPS-Beratungen vornehme.

Ziel sei es weiterhin, Fehler zu beheben, mehr Entwickler für den Code zu finden sowie die API und ABI zu OpenSSL stabil zu halten, was aber nicht immer einfach sei. Ebenso sei aber auch viel Code entfernt worden, etwa der "#ifdef Horror". Außerdem hätten die Entwickler sämtliche Quellen für Entropy auf das Betriebssystem ausgelagert.

Als Quelle für mögliche Fehler diene den LibreSSL-Entwicklern der OpenSSL-Bugtracker. Das OpenBSD-Team habe viele Fehler daraus behoben und Nutzer fragten mittlerweile das LibreSSL-Team direkt, gefundene Fehler zu beheben.

Neues für LibreSSL

Das LibreSSL-Team habe verschiedene neue Cipher in den Code integriert, dazu zählten Brainpool, Chacha oder Poly1305. Darüber hinaus strebe LibreSSL nicht an, FIPS-Algorithmen zu verwenden, da dies "schädlich für die Sicherheit der Bibliothek sei."

Zusätzlich plane das Team, die API zu verkleinern, nichtkryptografische Bestandteile aus Libcrypto zu entfernen sowie diese selbst von Libssl zu trennen. Einige größere Teile des Codes müssten außerdem komplett neu geschrieben werden. Um das zu finanzieren, suche die OpenBSD-Foundation nach wie vor nach Sponsoren. Es sollen mehrere Entwickler entscheidende Stellen der Software neu schreiben und auch die Portierbarkeit des Codes soll von dem Sponsoring profitieren. Zwar habe das Team dazu die Linux-Foundation angefragt, die habe das jedoch bisher abgelehnt.


eye home zur Startseite
daniel.ranft 21. Mai 2014

Oh was ich den Beitrag feiere :) Echt cooler Stil

GodsBoss 20. Mai 2014

Da dürften doch haufenweise Schnittstellen anders sein. Ich nehme mal an, würde man...

GodsBoss 20. Mai 2014

Aus dem Artikel: "Zu OpenSSL erläutert Beck, dass vorhandener Code, der Fehler behebe...

bstea 20. Mai 2014

Was heißt hier dreist? Der Müll existiert seit Jahren nur kann man eben nicht jedes...



Anzeige

Stellenmarkt
  1. zeb/rolfes.schierenbeck.associates gmbh, Berlin, Frankfurt am Main, Hamburg, München, Münster
  2. über Nash Direct GmbH, Böblingen
  3. aia automations Institut GmbH, Amberg
  4. Automotive Safety Technologies GmbH, Ingolstadt


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Rigiet

    Smartphone-Gimbal soll Kameras für wenig Geld stabilisieren

  2. Tele Columbus

    1 GBit würden "gegenwärtig nur die Nerds buchen"

  3. Systemkamera

    Leica CL verbindet Retro-Design mit neuester Technik

  4. Android

    Google bekommt Standortdaten auch ohne GPS-Aktivierung

  5. Kabelnetz

    Primacom darf Kundendaten nicht weitergeben

  6. SX-10 Aurora Tsubasa

    NECs Beschleuniger nutzt sechs HBM2-Stacks

  7. Virtual Reality

    Huawei und TPCast wollen VR mit 5G streamen

  8. Wayland-Desktop

    Nvidia bittet um Mitarbeit an Linux-Speicher-API

  9. Kabelnetz

    Vodafone liefert Kabelradio-Receiver mit Analogabschaltung

  10. Einigung erzielt

    EU verbietet Geoblocking im Online-Handel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

  1. Re: Das ist eine Frechheit

    DetlevCM | 08:41

  2. Re: Diese Nvidia-Eigenbrödlerei nervt!

    TeK | 08:40

  3. Re: The machine that builds the machine

    DeathMD | 08:40

  4. Re: Wieviel Akku vertrödelt eigentlich GPS permaON?

    Auf_zum_Atom | 08:39

  5. Re: Ist doch alles "kostenlos"

    DY | 08:39


  1. 07:38

  2. 20:00

  3. 18:28

  4. 18:19

  5. 17:51

  6. 16:55

  7. 16:06

  8. 15:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel