Von OpenSSL hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Ergebnisse einer Sicherheitsüberprüfung veröffentlicht. Es wurden vor allem kleine Schwächen im Pseudozufallszahlengenerator (PRNG) der Software entdeckt. Zudem wurden irreführende Konfigurations-Optionen und Compiler-Flags, die nicht richtig funktionieren oder unerwartete Effekte auslösen, gefunden. In dem Bericht werden keine schwerwiegenden Sicherheitslücken aufgedeckt.

Sicherheitsexperten der Firmen Sirrix AG und 3curity GmbH haben für den Audit die Version 1.0.1g der OpenSSL-Bibliothek geprüft, indem sie der Bibliothek einige Black-Box-Tests unterzogen und an bestimmten Stellen im Anschluss der Quellcode analysiert haben. Die Bibliothek wird bei dem Black-Box-Verfahren mit verschiedenen Eingaben konfrontiert und dann überprüft, ob die Ergebnisse den Spezifikationen der Software entsprechen.

Die BSI-Analyse konzentrierte sich auf bereits bekannte Angriffe auf die TLS-Umsetzung und die eingesetzten Krypto-Algorithmen. Bis auf einige Randfälle ist OpenSSL dagegen immun. Da nach neuen Schwachstellen offensichtlich nicht explizit gesucht wurde, wurden auch keine gefunden.

Die Probleme mit dem PRNG, die die Forscher entdeckt haben, beziehen sich vor allem auf die Erzeugung und die Verwaltung von Entropie. Einige der beschriebenen Probleme sind schon seit längerer Zeit bekannt, beispielsweise beim Forken des OpenSSL-Prozesses auf Systemen die mit Multithreading arbeiten.

In dem Ergebnissbericht des BSI werden an mehreren Stellen Empfehlungen angesprochen, wie der Umgang mit Entropie und die Härtung gegen SSL-Angriffe verbessert werden kann. Daraus sind allerdings noch keine konkreten Patches hervorgegangen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE