OpenSSL
From Wikipedia, the free encyclopedia
Remove ads
OpenSSL, ranije SSLeay, jest slobodni softver za TLS (nivo sigurnog prenosa podataka). OpenSSL sadrži implementacije mrežnih protokola i raznih vrsta enkripcije s konzolom za učitavanje, pravljenje i održavanje digitalnih certifikata.
Remove ads
Historija
SSLaey je od 1990 bilo moguće upotrebljavati i izvan USA jer je implementiran u Australiji. Time nije obuhvaćen ograničenjima izvoznih propisa SAD-a, koji inače važe za kriptografski softver.[1] Ime softvera sadrži inicijale imena programera, Eric A.Younga, kao i mrežnog protokola. Young je radio prije toga na implementaciji Kerberosa i DES-a.[2] Njegov prijatelj Tim J. Hudson predložio mu je da zajedno rade na novom softveru.[3] Hudsonova uloga je u ovom projektu bila znatna, jer je i za slobodni softver kao i za Windows programirao odgovarajući sigurnosni zakrp. (en. patch) [1][4]
U ljetu 1998 obustavljena je objava SSLeay verzije 0.9.1b , koja je radom jednog tima do decembra 1998 dalje razvijana i pod nazivom OpenSSL 0.9.1c objavljena.[5] Jedan od osnivača ovog tima Ralf S. Engelschall, opisao je OpenSSL kao prvi korak u stvaranju enkripcijskog modula za Apache servere. Za razliku od enkripcijskog modula razvoj OpenSSL još nije okončan. Potreban je volonterski angažman programera da bi se aplikacije na bazi OpenSSL i dalje razvijale.[6]
Remove ads
Certificiranje FIPS-140-2
OpenSSL je prvi softver otvorenog koda koji je certificiran sa FIPS 140-2. FIPS 1402-2 je sigurnosni standard za validiranje kriptografijskih module prema uslovima NIST instituta.NIST je dao dozvolu u januaru 2006. U junu je privremeno dozvola bila povučena, da bi 16. februara 2007 ponovo bila dodijeljena.Prema navodima John Weathersbya su ti potezi bili "političke prirode" (en. a political challenge) jer proizvođači komercijalnog softvera moraju platiti za certificiranje. Za OpenSSL su se zauzeli američko ministarstvo odbrane kao i nekoliko firmi koji su bili zainteresovano za uštedu novca za certificiranje softvera.[7]
Remove ads
Sigurnosni proboji
Slab ključ kod Debiana
Tim Debian projekta je 13. maja 2008 dao saopštenje da distribucije OpenSSL objavljene pod 17. septembra 2006 verzija 0.9.8c-1 do 0.9.8.g-9 posjeduju sigurnosno proboj. Kao uzrok smatra se sigurnosni zakrp, koji je prilagođen Debianu. Uz pomoć generatora slučajnih brojeva ustanovljeno je da se kriptigrafski ključevi mogu prognosticirati. Obuhvaćeni su ključevi za SSH-, OpenVPN-, DNSSEC, X.509 certifikate kao i privremeni ključevi za jednu sesiju (en. Session key) SSL/TTL veza koje koriste HTTPS. Ključevi kreirani sa GnuPG ili GnuTLS nisu obuhvaćeni.[8]
Sigrunosni proboj je nastao pokušajem uklanjanja upozorenja Valgrinda, softvera za kodiranje. Brisanjem jednog reda izvornog koda kod Valgrinda je dovelo do toga da je nehotice još jedan red izbrisan koji je stajao u drugom kontekstu. Par ključeva (javni i privatni) može se lako kompromitovati, čime se svi mogući privatni ključevi mogu proračunati u roku od nekoliko dana. Ovom greškom su mnoge SSL veze ranjive za kriptonalitičke napade poput "srednjeg čovjeka" Man-in-the-Middle Sve prijašnje veze sa serverima, koji koriste ovaj slabiji ključ, su ranjive sve dotle dok certifikati ne isteknu ili dok ne budu povučeni. Prominentan je slučaj jednog preduzeća Akamai, koje se bavi sektorom usluga a njeni klijenti su između ostalih njemačka porezna uprava i AMD. Akamai je poreznoj upravu iznajmljivao softver ELSTER, a za stavlja AMD daje drajver na raspolaganje .[9][10]
Heartbleed bug
Verzije OpenSSL-a koje su ovim bugom obuhvaćene imaju problem kada TLS i DTLS učitavaju RAM drugog korisnika. Moguća je kompromitacija privatnog ključa X.509 certifikata, korisničkih imena i lozinki. Ranjive su one verzije OpenSSL sa Heartbeat variantom od 1.0.1 (14 mart 2012) pa sve do 1.0.1f, kao i više beta verzija 1.01 i 1.0.2. Sigrunosni proboj je otklonjen 7 aprila 2014.
Licenca
OpenSSL licenca se sastoji od dvije: SSLeay i vlastita. . Time je licenca kombinovana[11] Slične su BSD.[4] Razlika je u tome da svi strani proizvodi koji je koriste moraju navesti (kod reklama) da je OpenSSL pod vlasništvom SSLeaya.
Objavljene verzije
Legend:
Stara verzija
Starija verzija, ali se još podržava
Trenutna verzija
Zadnji verzijski pregled
Buduće izdanje
Stara verzija
Starija verzija, ali se još podržava
Trenutna verzija
Zadnji verzijski pregled
Buduće izdanje
Spisak sadrži izbor verzija iz „ChangeLog“ i „Project State“[5]
0.9.x–verzije
1.0.0 – verzije
1.0.1 – verzije
Remove ads
Također pogledajte
- PolarSSL
- GnuTLS
Vanjski linkovi
- Offizielle Homepage (en)
- OpenSSL-Installer (Windows) (en)
- OpenSSL für OpenVMS Arhivirano 12. 3. 2014. na Wayback Machine auf IA-64, VAX und Alpha-Prozessor (en)
- Ein Linux-OpenSSL-Tutorial (de)
- Apache mit mod_ssl und OpenSSL (de)
- Anleitung zum Erstellen eigener X.509-Zertifikate mittels OpenSSL (de)
Reference
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads