Nytt alternativ til OpenSSL

Nytt alternativ til OpenSSL

OpenBSD-grunnlegger Theo de Raadt annonserer OpenSSL-splitten LibreSSL.

I utgangspunktet er det ikke vanskelig å forstå at en liten, både i antall linjer kode og funksjon, feil i det frie krypteringsbiblioteket OpenSSL kan ligge uoppdaget i hele to år, selv med mange aktive utviklere og testere.

Alvorligheten av en sårbarhet av denne typen ble raskt tydelig da Heartbleed ble kjent.

At feilen klarte å forbli uoppdaget såpass lenge synes Theo de Raadt, grunnlegger og prosjektleder av det frie (og sikre) operativsystemet OpenBSD, ikke noe særlig om. Derfor har han og medlemmer av OpenBSD-teamet annonsert opprettelsen av LibreSSL, en splittelse av OpenSSL, ifølge The Register.

De Raadt, som er kjent i open source-miljøet for å ta sikkerhet svært alvorlig var også tidlig ute med å kommentere feilen, og i en melding fra 8. april skriver han blant annet at «OpenSSL er ikke utviklet av et ansvarlig team».

Det vil OpenBSD-teamet gjøre noe med, og LibreSSL skal bli et fritt og utskiftbart alternativ til OpenSSL. Utgangspunktet er koden i OpenSSL, men det meste skal skrives på nytt og selvsagt grundig gjennomgått og testet for svakheter og sikkerhetsfeil.

LibreSSL er lovende da OpenBSD har et ekstremt godt rykte på sikkerhet, og er stolte av at operativsystemet bare har hatt «to utnyttbare svakheter i standardinnstallasjonen på skikkelig lang tid», som det heter.

Teamet lover også at selv om koden vil endres og skrives om, så forblir API-et uendret. På den måten skal det bli svært enkelt å bytte ut det ene for det andre. Det er fortsatt svært tidlig i prosjektet, men nettsidene er allerede i ferd med å fylles med kode. LibreSSL har også allerede fått egen side på Wikipedia.

I første omgang utvikles LibreSSL for OpenBSD, med planer om å legge til støtte for andre operativsystemer etter hvert. Slik planen er, skal det nye SSL-biblioteket være klart til å inkluderes i OpenBSD 5.6 som skal slippes i november.

Som teamet skriver på nettsidene:

- Vi vet at dere vil ha dette i morgen. Vi jobber så raskt vi kan, men vårt primærfokus er god programvare vi stoler nok på til å kjøre selv.

OpenBSD 5.5 slippes forøvrig om noen få dager, den 1. mai.

Les om:

Sikkerhet