Abo
  • Services:

Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG).

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Um die Sicherheit von OpenSSL scheint es gut bestellt.
Um die Sicherheit von OpenSSL scheint es gut bestellt. (Bild: Suzy Hazelwood/CC0 1.0)

Gute Nachrichten für OpenSSL-Nutzer und -Entwickler: Ein unabhängiger Audit bestätigt der Version 1.1.1, keine ernsten Probleme mit sich zu bringen. Der Code ließe sich zwar an einigen Stellen noch optimieren, sei aber "funktional, sicher und schnell", hieß es im Fazit zur Untersuchung.

Stellenmarkt
  1. FTI Ticketshop GmbH, München
  2. ENERCON GmbH, Aurich

Diese konzentrierte sich vor allem auf die neuen Fuktionen für TLS 1.3 und den überarbeiteten Pseudo Random Number Generator (PRNG). Das Audit-Team fand laut der Ankündigung in einem Blogpost nur kleinere clientseitige Denial-of-Service-Schwachstellen. Über die hätten Angreifer OpenSSL zum Absturz bringen können. Auch das Benachrichtigen beim Scheitern von Verbindungen und im Zusammenhang mit TLS 1.3 wies kleinere Fehler auf.

Der neue PRNG und das SRP-Authentifizierungsprotokoll sind korrekt implementiert, der Code ließe sich aber noch mit hilfreichen Kommentaren und eindeutiger benannten Funktionen verbessern.

NULL-Checks fehlen

An einigen internen Funktionen fehlen im Code auch NULL-Checks: Software verhält sich mitunter unberechenbar, wenn NULL-Werte übergeben werden. Die fehlenden NULL-Checks seien allerdings Absicht, um die Leistung zu verbessern, argumentierten die OpenSSL-Entwickler. Unabhängige Experten bestätigten den Sicherheitsforschern, dass es unwahrscheinlich sei, dass das Fehlen der NULL-Checks den von außen nicht aufrufbaren Code tangiere.

Der unter anderem von Private Internet Access und Duckduckgo über den Fonds Ostif gesponserte Audit führte letztlich zu 16 Empfehlungen und Änderungen an OpenSSL. Die Software soll künftig zudem Teil eines Bug-Bounty-Programms werden. Der vollständige Test lässt sich in einem PDF nachlesen.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  2. (u. a. Life is Strange Complete Season 3,99€, Deus Ex: Mankind Divided 4,49€)
  3. 45,95€
  4. 23,49€

George99 24. Jan 2019 / Themenstart

Ist ja auch oft gar nicht möglich, wenn ich z.B. einer Funktion einen Zeiger auf einen...

Kommentieren


Folgen Sie uns
       


LG V40 ThinQ - Test

Das V40 Thinq ist LGs jüngstes Top-Smartphone, das mit drei Kameras auf der Rückseite und zwei auf der Vorderseite in den Handel kommt.

LG V40 ThinQ - Test Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


    Elektromobilität: Der Umweltbonus ist gescheitert
    Elektromobilität
    Der Umweltbonus ist gescheitert

    Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
    Eine Analyse von Dirk Kunde

    1. Elektromobilität Nikola Motors kündigt E-Lkw ohne Brennstoffzelle an
    2. SPNV Ceské dráhy will akkubetriebene Elektrotriebzüge testen
    3. Volkswagen Electrify America nutzt Tesla-Powerpacks zur Deckung von Spitzen

      •  /