Bei vielen Projekten ist eine FIPS-140-2-Zertifizierung die erforderliche Eintrittskarte gerade bei US-Regierungsaufträgen häufig gar nichts geht. Das dafür zuständige National Institute of Standards and Technology (NIST) hat jetzt die Version 1.0 der weit verbreiteten Krypto-Bibliothek OpenSSL dieses Siegel zuerkannt.

Die Zertifizierung bezieht sich nicht auf OpenSSL selbst, sondern auf das sogenannte OpenSSL FIPS Object Module, das nur ein spezielles Subset der OpenSSL-Funktionen bereitstellt. Es deaktiviert unter anderem einige verbreitete, aber nicht FIPS-konforme Algorithmen wie Blowfish, CAST, IDEA und RC4/5. Software, die bereits OpenSSL nutzt, soll leicht auf die FIPS-konformen Bibliotheken umzustellen sein.

Weil solche Prüfsiegel sich für gewöhnlich auf fertige, ausführbare Programmpakete beziehen, ist die Zertifizierung von OpenSSL etwas besonderes. Die Zertifizierung gilt allerdings nur dann, wenn aus dem validierten, unveränderten Quellcode in einem genau dokumentierten Verfahren ausführbarer Code erzeugt wird.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE