Abo
  • Services:

Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG).

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Um die Sicherheit von OpenSSL scheint es gut bestellt.
Um die Sicherheit von OpenSSL scheint es gut bestellt. (Bild: Suzy Hazelwood/CC0 1.0)

Gute Nachrichten für OpenSSL-Nutzer und -Entwickler: Ein unabhängiger Audit bestätigt der Version 1.1.1, keine ernsten Probleme mit sich zu bringen. Der Code ließe sich zwar an einigen Stellen noch optimieren, sei aber "funktional, sicher und schnell", hieß es im Fazit zur Untersuchung.

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. Versicherungskammer Bayern, München

Diese konzentrierte sich vor allem auf die neuen Fuktionen für TLS 1.3 und den überarbeiteten Pseudo Random Number Generator (PRNG). Das Audit-Team fand laut der Ankündigung in einem Blogpost nur kleinere clientseitige Denial-of-Service-Schwachstellen. Über die hätten Angreifer OpenSSL zum Absturz bringen können. Auch das Benachrichtigen beim Scheitern von Verbindungen und im Zusammenhang mit TLS 1.3 wies kleinere Fehler auf.

Der neue PRNG und das SRP-Authentifizierungsprotokoll sind korrekt implementiert, der Code ließe sich aber noch mit hilfreichen Kommentaren und eindeutiger benannten Funktionen verbessern.

NULL-Checks fehlen

An einigen internen Funktionen fehlen im Code auch NULL-Checks: Software verhält sich mitunter unberechenbar, wenn NULL-Werte übergeben werden. Die fehlenden NULL-Checks seien allerdings Absicht, um die Leistung zu verbessern, argumentierten die OpenSSL-Entwickler. Unabhängige Experten bestätigten den Sicherheitsforschern, dass es unwahrscheinlich sei, dass das Fehlen der NULL-Checks den von außen nicht aufrufbaren Code tangiere.

Der unter anderem von Private Internet Access und Duckduckgo über den Fonds Ostif gesponserte Audit führte letztlich zu 16 Empfehlungen und Änderungen an OpenSSL. Die Software soll künftig zudem Teil eines Bug-Bounty-Programms werden. Der vollständige Test lässt sich in einem PDF nachlesen.



Anzeige
Hardware-Angebote
  1. 23,99€
  2. 216,50€

George99 24. Jan 2019 / Themenstart

Ist ja auch oft gar nicht möglich, wenn ich z.B. einer Funktion einen Zeiger auf einen...

Kommentieren


Folgen Sie uns
       


Asus Zenbook Pro 14 - Test

Das Touchpad des Asus Zenbook Pro 14 ist ein kleiner Bildschirm. Hört sich nutzlos an, hat uns aber dennoch im Test überzeugt.

Asus Zenbook Pro 14 - Test Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
    Mac Mini mit eGPU im Test
    Externe Grafik macht den Mini zum Pro

    Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
    Ein Test von Marc Sauter

    1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
    2. Apple Mac Mini wird grau und schnell
    3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

      •  /