Abo
  • Services:

Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG).

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Um die Sicherheit von OpenSSL scheint es gut bestellt.
Um die Sicherheit von OpenSSL scheint es gut bestellt. (Bild: Suzy Hazelwood/CC0 1.0)

Gute Nachrichten für OpenSSL-Nutzer und -Entwickler: Ein unabhängiger Audit bestätigt der Version 1.1.1, keine ernsten Probleme mit sich zu bringen. Der Code ließe sich zwar an einigen Stellen noch optimieren, sei aber "funktional, sicher und schnell", hieß es im Fazit zur Untersuchung.

Stellenmarkt
  1. T-Systems Multimedia Solutions GmbH, Dresden
  2. Ruhrverband, Essen

Diese konzentrierte sich vor allem auf die neuen Fuktionen für TLS 1.3 und den überarbeiteten Pseudo Random Number Generator (PRNG). Das Audit-Team fand laut der Ankündigung in einem Blogpost nur kleinere clientseitige Denial-of-Service-Schwachstellen. Über die hätten Angreifer OpenSSL zum Absturz bringen können. Auch das Benachrichtigen beim Scheitern von Verbindungen und im Zusammenhang mit TLS 1.3 wies kleinere Fehler auf.

Der neue PRNG und das SRP-Authentifizierungsprotokoll sind korrekt implementiert, der Code ließe sich aber noch mit hilfreichen Kommentaren und eindeutiger benannten Funktionen verbessern.

NULL-Checks fehlen

An einigen internen Funktionen fehlen im Code auch NULL-Checks: Software verhält sich mitunter unberechenbar, wenn NULL-Werte übergeben werden. Die fehlenden NULL-Checks seien allerdings Absicht, um die Leistung zu verbessern, argumentierten die OpenSSL-Entwickler. Unabhängige Experten bestätigten den Sicherheitsforschern, dass es unwahrscheinlich sei, dass das Fehlen der NULL-Checks den von außen nicht aufrufbaren Code tangiere.

Der unter anderem von Private Internet Access und Duckduckgo über den Fonds Ostif gesponserte Audit führte letztlich zu 16 Empfehlungen und Änderungen an OpenSSL. Die Software soll künftig zudem Teil eines Bug-Bounty-Programms werden. Der vollständige Test lässt sich in einem PDF nachlesen.



Anzeige
Hardware-Angebote
  1. 249€ + Versand
  2. (u. a. Grafikkarten, Monitore, Mainboards)
  3. ab 194,90€
  4. 169,90€ + Versand

George99 24. Jan 2019

Ist ja auch oft gar nicht möglich, wenn ich z.B. einer Funktion einen Zeiger auf einen...


Folgen Sie uns
       


Geräuschunterdrückung von drei ANC-Kopfhörern im Vergleich

Wir haben den neuen ANC-Kopfhörer von Audio Technica gegen die Konkurrenz von Bose und Sony antreten lassen. Im Video sind die Unterschiede bei der ANC-Leistung zwischen dem ATH-ANC900BT, dem Quiet Comfort 35 II und dem WH-1000XM3 deutlich hörbar.

Geräuschunterdrückung von drei ANC-Kopfhörern im Vergleich Video aufrufen
Anno 1800 im Test: Super aufgebaut
Anno 1800 im Test
Super aufgebaut

Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
  2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
  3. Systemanforderungen Anno 1800 braucht schnelle CPU

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

    •  /