• IT-Karriere:
  • Services:

Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG).

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Um die Sicherheit von OpenSSL scheint es gut bestellt.
Um die Sicherheit von OpenSSL scheint es gut bestellt. (Bild: Suzy Hazelwood/CC0 1.0)

Gute Nachrichten für OpenSSL-Nutzer und -Entwickler: Ein unabhängiger Audit bestätigt der Version 1.1.1, keine ernsten Probleme mit sich zu bringen. Der Code ließe sich zwar an einigen Stellen noch optimieren, sei aber "funktional, sicher und schnell", hieß es im Fazit zur Untersuchung.

Stellenmarkt
  1. IHK Reutlingen, Reutlingen
  2. Hays AG, München

Diese konzentrierte sich vor allem auf die neuen Fuktionen für TLS 1.3 und den überarbeiteten Pseudo Random Number Generator (PRNG). Das Audit-Team fand laut der Ankündigung in einem Blogpost nur kleinere clientseitige Denial-of-Service-Schwachstellen. Über die hätten Angreifer OpenSSL zum Absturz bringen können. Auch das Benachrichtigen beim Scheitern von Verbindungen und im Zusammenhang mit TLS 1.3 wies kleinere Fehler auf.

Der neue PRNG und das SRP-Authentifizierungsprotokoll sind korrekt implementiert, der Code ließe sich aber noch mit hilfreichen Kommentaren und eindeutiger benannten Funktionen verbessern.

NULL-Checks fehlen

An einigen internen Funktionen fehlen im Code auch NULL-Checks: Software verhält sich mitunter unberechenbar, wenn NULL-Werte übergeben werden. Die fehlenden NULL-Checks seien allerdings Absicht, um die Leistung zu verbessern, argumentierten die OpenSSL-Entwickler. Unabhängige Experten bestätigten den Sicherheitsforschern, dass es unwahrscheinlich sei, dass das Fehlen der NULL-Checks den von außen nicht aufrufbaren Code tangiere.

Der unter anderem von Private Internet Access und Duckduckgo über den Fonds Ostif gesponserte Audit führte letztlich zu 16 Empfehlungen und Änderungen an OpenSSL. Die Software soll künftig zudem Teil eines Bug-Bounty-Programms werden. Der vollständige Test lässt sich in einem PDF nachlesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. GeForce RTX 3060 Ti Uprising 8G für 561,27€, PNY GeForce RTX 3090 XLR8 Gaming Revel EPIC...
  2. (u. a. Nintendo Joy-Con 2er-Set für 54,99€, Targus 2-in-1 Stylus & Kugelschreiber Eingabestift...
  3. mit 345€ neuer Bestpreis auf Geizhals
  4. (u. a. Sony Playstation 4 Pro 1TB Limited Death Stranding Edition für 399,98€, Asus TUF Gaming...

George99 24. Jan 2019

Ist ja auch oft gar nicht möglich, wenn ich z.B. einer Funktion einen Zeiger auf einen...


Folgen Sie uns
       


Viewsonic M2 - Test

Der kleine LED-Projektor eignet sich für Präsentationen und als flexibles Kino für unterwegs.

Viewsonic M2 - Test Video aufrufen
Star Wars: Darth-Vader-Darsteller Dave Prowse ist tot
Star Wars
Darth-Vader-Darsteller Dave Prowse ist tot

Er war einer der großen Stars der originalen Star-Wars-Trilogie und doch kaum jemandem bekannt. David Prowse ist im Alter von 85 Jahren gestorben.
Ein Nachruf von Peter Osteried

  1. Spaceballs Möge der Saft mit euch sein
  2. The Mandalorian Erste Folge der zweiten Staffel ist online
  3. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf

IT-Teams: Jeder möchte wichtig sein
IT-Teams
Jeder möchte wichtig sein

Teams bestehen in der IT häufig aus internen und externen, angestellten und freien Mitarbeitern. Damit alle zusammenarbeiten, müssen Führungskräfte umdenken.
Von Miriam Binner

  1. Digital-Gipfel Wirtschaft soll 10.000 zusätzliche IT-Lehrstellen schaffen
  2. Weiterbildung Was IT-Führungskräfte können sollten
  3. IT-Profis und Visualisierung Sag's in Bildern

No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021

    •  /