Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG).

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Um die Sicherheit von OpenSSL scheint es gut bestellt.
Um die Sicherheit von OpenSSL scheint es gut bestellt. (Bild: Suzy Hazelwood/CC0 1.0)

Gute Nachrichten für OpenSSL-Nutzer und -Entwickler: Ein unabhängiger Audit bestätigt der Version 1.1.1, keine ernsten Probleme mit sich zu bringen. Der Code ließe sich zwar an einigen Stellen noch optimieren, sei aber "funktional, sicher und schnell", hieß es im Fazit zur Untersuchung.

Stellenmarkt
  1. Trainer (m/w/d) - Android App Entwickler / Developer
    WBS GRUPPE, deutschlandweit (Home-Office)
  2. Agile Software-Tester (m/w/d)
    TOPdesk Deutschland GmbH, Kaiserslautern
Detailsuche

Diese konzentrierte sich vor allem auf die neuen Fuktionen für TLS 1.3 und den überarbeiteten Pseudo Random Number Generator (PRNG). Das Audit-Team fand laut der Ankündigung in einem Blogpost nur kleinere clientseitige Denial-of-Service-Schwachstellen. Über die hätten Angreifer OpenSSL zum Absturz bringen können. Auch das Benachrichtigen beim Scheitern von Verbindungen und im Zusammenhang mit TLS 1.3 wies kleinere Fehler auf.

Der neue PRNG und das SRP-Authentifizierungsprotokoll sind korrekt implementiert, der Code ließe sich aber noch mit hilfreichen Kommentaren und eindeutiger benannten Funktionen verbessern.

NULL-Checks fehlen

An einigen internen Funktionen fehlen im Code auch NULL-Checks: Software verhält sich mitunter unberechenbar, wenn NULL-Werte übergeben werden. Die fehlenden NULL-Checks seien allerdings Absicht, um die Leistung zu verbessern, argumentierten die OpenSSL-Entwickler. Unabhängige Experten bestätigten den Sicherheitsforschern, dass es unwahrscheinlich sei, dass das Fehlen der NULL-Checks den von außen nicht aufrufbaren Code tangiere.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. PostgreSQL Fundamentals
    14.-17. September 2021, online
Weitere IT-Trainings

Der unter anderem von Private Internet Access und Duckduckgo über den Fonds Ostif gesponserte Audit führte letztlich zu 16 Empfehlungen und Änderungen an OpenSSL. Die Software soll künftig zudem Teil eines Bug-Bounty-Programms werden. Der vollständige Test lässt sich in einem PDF nachlesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

George99 24. Jan 2019

Ist ja auch oft gar nicht möglich, wenn ich z.B. einer Funktion einen Zeiger auf einen...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /