Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
LibreSSL: Linuxer und OpenBSDler raufen sich zusammen

21.07.2014

 zur Newsdatenbank home

Erste Probleme mit LibreSSL, um die heftige Diskussionen entbrennen, tauchen mit der Portierung der für OpenBSD entwickelten SSL-Bibliothek auf. Man kann an der Auseinandersetzung gut erkennen, was bei OpenSSL bisher schief gelaufen ist und dass eine gute Lösung sogar Änderungen am Betriebssystem mit sich ziehen kann.

Die sichere Nutzung von Zufallszahlengeneratoren (RNG) nach einem Aufruf von fork(), was komplett identische Kopien eines Prozesses im Speicher anlegt, ist Auslöser der Diskussionen. Denn OpenSSL und LibreSSL verhalten sich da unterschiedlich. OpenSSL liefert in den Kindprozessen mit einem speziellen Testprogramm, wie es sein sollte, andere Zahlen. Jedoch kommen bei LibreSSL für Linux die gleichen Zufallszahlen, was eindeutig schlecht ist.

Das LibreSSL-Team argumentiert allerdings, dass OpenSSL auch nur einen kruden Workaround, den sie nicht in ihre Bibliothek einbauen wollen, implementiert. Gerade solchen Bloat und gefährliche, durch den Zwang zur Portabilität entstandene, Workarounds zu entfernen, sei schließlich das Ziel des Projekts. Die BSD-affinen LibreSSL-Entwickler stehen auf dem Standpunkt, dass nicht sie die SSL-Implementierung fixen müssten sondern die Linuxer ihren Kernel.

Was die Linuxer sogar tun. Wie Theodore Ts'o – Maintainer des Krypto-Subsystems und alteingesessenener Linux-Kernel-Hacker – jetzt auf der Kernel-Mailingliste vorschlägt, soll auf Anfrage des LibreSSL-Teams hin der Linux-Kern einen neuen System-Aufruf bekommen. Die Funktion getrandom() soll analog funktionieren wie auf OpenBSD getentropy(). Das fork-Problem lässt sich damit dann sauber lösen und ein möglicher Angriff durch das künstliche Aufbrauchen von Filehandles auch gleich aus der Welt schaffen.

Jedoch bleibt das Problem, dass es einige Zeit dauern wird, bis eine solche Änderung in den Mainstream-Kernel-Versionen tatsächlich ankommt. Und es dürften sicher noch einige Jahre ins Land ziehen, bis die dann auf Linux-Servern zum Einsatz kommen. Die LibreSSL-Entwickler haben bis dahin für fork() eine spezielle Ausnahmebehandlung eingebaut.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89