OpenSSL

Fra Wikipedia, den frie encyklopædi
Gå til: navigation, søg
OpenSSL
Udvikler(e) The OpenSSL Project
Skrevet i C, assembler
Operativsystem Multi-platform
Platform Multi-platform
Type Sikkerhedsprogrambibliotek
Licens Apache-licens 1.0 og 4-klausulers BSD-licens
Hjemmeside https://www.openssl.org

OpenSSL er en open-source implementering af SSL- og TLS-protokollerne. Kernefunktionaliteten er skrevet i C, og implementerer basale kryptografiske funktioner og stiller forskellige hjælpefunktioner til rådighed. Der eksisterer "wrappere" der muliggør brug af OpenSSL, i et hav af andre programmeringssprog.

Der findes versioner til de fleste Unix-lignende operativsystemer (herunder Solaris, Linux, Mac OS X og de forskellige open source BSD operativsystemer), OpenVMS og Microsoft Windows. IBM leverer en porteret version til System i (OS/400). OpenSSL er baseret på SSLeay af Eric A. Young og Tim Hudson, udviklingen af denne stoppede officielt omkring december 1998, da Young og Hudson begge begyndte at arbejde for RSA Security.

Licenser[redigér | redigér wikikode]

OpenSSL har en "dobbelt-licens", under OpenSSL-licens og SSLeay-licens.[1] OpenSSL-licensen er en Apache-licens 1.0 og SSLeay-licensen er en 4-klausuls BSD-licens. Den normale betydning af betegnelsen dobbelt-licens er at brugeren frit kan vælge den licens han ønsker at anvende. Men OpenSSL dokumentationen bruger betegnelsen dobbelt-licens i betydningen at begge licenser gælder.

Da OpenSSL-licensen er en Apache-licens 1.0, og ikke en Apache-licens 2.0, kræver den at sætningen 'This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/) optræder i marketingmateriale og i enhver distribution (Afsnit 3 og 6 i OpenSSL-licensen). Pga. denne begrænsning, er OpenSSL-licensen og Apache-licensen inkompatible med GPLen.[2] Nogle GPL udviklere har tilføjet en OpenSSL undtagelse til deres licenser alene for at tillade at OpenSSL kan blive brugt med deres system. GNU Wget og climm bruger begge sådanne undtagelser.[3][4] Nogle pakker (som Deluge) har specifikt modificeret GPL-licensen ved at tilføje et ekstra afsnit i starten af licensen der dokumenterer undtagelsen.[5] Andre pakker bruger den LGPL licenserede GnuTLS som udfører den samme opgave.

Velkendte sårbarheder[redigér | redigér wikikode]

Sårbarhed i Debian implementeringen[redigér | redigér wikikode]

For at undgå visning af en fejl i Valgrind analyseværktøjet havde en vedligeholder af Debian distributionen anvendt en patch i Debian implementeringen af OpenSSL pakken, som utilsigtet kom til at bryde dens tilfældighedsgenerator. Den defekte version blev inkluderet i Debian udgaven fra 17. september 2006 (version 0.9.8c-1). Enhver nøgle dannet med den defekte tilfældighedsgenerator, og data krypteret med sådan en nøgle, blev kompromiteret. Fejlen blev rapporteret af Debian den 13. maj 2008.[6]

I Debian 4.0 distributionen (etch), blev disse problemer løst i version 0.9.8c-4etch3 og for Debian 5.0 distributionen (lenny), blev disse problemer læst i version 0.9.8g-9.[6]

Heartbleed-bug[redigér | redigér wikikode]

Nuvola apps download manager2-70%.svg Hovedartikel: Heartbleed-bug.
Logo for Heartbleed fejlen

Den 7. april 2014, blev det annonceret at OpenSSL 1.0.2-beta samt alle versioner af OpenSSL i 1.0.1 serien, bortset fra 1.0.1g, havde en alvorlig hukommelseshåndteringsfejl i deres implementering af TLS Heartbeat udvidelsen.[7] Denne defekt kunne blive brugt til at afsløre op til 64 kilobyte af applikationshukommelsen med hvert eneste heartbeat.[8] Dens CVE nummer er CVE-2014-0160.[9]

Sårbarheden har eksisteret siden 31. december 2011, og den sårbare kode er blevet meget udbredt med udgivelsen af OpenSSL version 1.0.1 den 14. marts 2012.[10][11] Ved at læse hukommelsen på webserveren, kan angribere få adgang til følsomme data, og dermed kompromitere serverens og dens brugeres sikkerhed. Potentielt sårbare sikre data omfatter serverens private master key,[10] hvilket gør det muligt for angribere at bryde krypteringen af tidligere aflyttet kommunikation med serveren og dermed implementere et man-in-the-middle angreb.

Sårbarheden kan måske også afsløre ikke-krypterede dele af brugeres følsomme forespørgsler og svar, herunder cookies og kodeord, hvilket måske kan gøre det muligt for angribere at overtage identiten af en anden bruger af tjenesten.[12] Ved afsløringen blev det vurderet at ca. 17% eller en halv million af Internettets sikre webserverere certifieret af certifikatudstedere var følsomme over for angrebet.[13][14][15]

Der er etableret en dedikeret webside The Heartbleed Bug der giver et overblik over fejlen samt anvisninger på tiltag.[16] Det danske teknologisite Version2 har også en oversigt.[17]

Kilder[redigér | redigér wikikode]

  1. "OpenSSL: Source, License". openssl.org. http://www.openssl.org/source/license.html. 
  2. "Licenses – Free Software Foundation". fsf.org. http://www.fsf.org/licensing/licenses. 
  3. "WGET 1.10.2 for Windows (win32)". users.ugent.be. http://users.ugent.be/~bpuype/wget. 
  4. "Releases of source and binaries". climm.org. http://www.climm.org/download.shtml.en. Hentet 2010-11-30. 
  5. "Deluge LICENSE file". deluge-torrent.org. http://git.deluge-torrent.org/deluge/plain/LICENSE. Hentet 2013-01-24. 
  6. 6,0 6,1 "DSA-1571-1 openssl – predictable random number generator". Debian. 2008-05-13. http://www.debian.org/security/2008/dsa-1571. Hentet 2012-12-03. 
  7. Seggelmann, R. et al. (February 2012). "Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension". RFC 6520. Internet Engineering Task Force (IETF). https://tools.ietf.org/html/rfc6520. Hentet 2014-04-08. 
  8. OpenSSL (2014-04-07). "TSL heartbeat read overrun (CVE-2014-0160)". https://www.openssl.org/news/secadv_20140407.txt. Hentet 2014-04-08. 
  9. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
  10. 10,0 10,1 Codenomicon Ltd (2014-04-08). "Heartbleed Bug". http://heartbleed.com/. Hentet 2014-04-08. 
  11. Goodin, Dan (2014-04-08). "Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping". Ars Technica. http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/. Hentet 2014-04-08. 
  12. "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec.pl. 2014. http://ipsec.pl/ssl-tls/2014/why-heartbleed-dangerous-exploiting-cve-2014-0160.html. 
  13. Mutton, Paul (2014-04-08). "Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd.. http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html. Hentet 2014-04-08. 
  14. Rühne, Frederik Høj (2014-04-10). "Hul i OpenSSL: En halv million hjemmesider er sikkerhedsudsat". Version2. http://www.version2.dk/artikel/hul-i-openssl-en-halv-million-hjemmesider-er-sikkerhedsudsat-57252. Hentet 2014-04-10. 
  15. Møllerhøj, Jakob (2014-04-09). "Ekspert om omfattende SSL-sårbarhed: Derfor skal du skifte alle dine kodeord". Version2. http://www.version2.dk/artikel/ekspert-efter-omfattende-ssl-saarbarhed-derfor-skal-du-skifte-alle-dine-kodeord-57246. Hentet 2014-04-10. 
  16. "The Heartbleed Bug". 2014-04-07. http://heartbleed.com/. Hentet 2014-04-09. 
  17. Kramshøj, Henrik (2014-04-08). "Opdater OpenSSL - og dit OS nu". Version2. http://www.version2.dk/blog/opdater-openssl-og-dit-os-nu-57202. Hentet 2014-04-10. 

Eksterne henvisninger[redigér | redigér wikikode]

It Stub
Denne it-artikel er kun påbegyndt. Hvis du ved mere om emnet, kan du hjælpe Wikipedia ved at udvide den.