OpenBSD spaltet sich mit LibreSSL von OpenSSL ab
Die Entwickler des Unix-Derivats OpenBSD durchforsten seit einer Woche den Code der für den Heartbleed-Bug verantwortlichen Open-Source-Kryptografie-Software OpenSSL. Da der Code nach Aussagen von Projektleiter Theo De Raadt ein totales Durcheinander sei, entschloss sich das Team zu einer Abspaltung namens LibreSSL.
Nach de Raadts Meinung stehen die finanziellen und personellen Ressourcen, die das Projekt hinter OpenSSL zur Verfügung hat, in keinem Verhältnis zur weiten Verbreitung der sicherheitskritischen Software. OpenBSD, bekannt als kompromisslos in puncto Lizenzen, offener Quellcode und Sicherheit, begann nach dem brisanten, durch Unachtsamkeit übersehenen Fehler in OpenSSL mit Aufräumarbeiten beim Quellcode der Software. Das OpenBSD-Projekt war bislang nicht an der Entwicklung von OpenSSL beteiligt.
„Unsere Arbeitsgruppe hat in einer Woche die Hälfte des Quellcodes entfernt, wobei es sich hauptsächlich um unbeachtete Überbleibsel handelte“, so de Raadt. Dabei geht es um über 90.000 Zeilen Code, die nach seinen Angaben zum Teil seit zwölf Jahren unbenutzt waren. Entfernt wurden unter anderem die Unterstützung für VMS des Computerherstellers Digital Equipment Corporation (DEC) und für WIN32 sowie tausende Zeilen der Unterstützung für FIPS. Selbst nach all diesen Entfernungen sei das Ergebnis noch API-kompatibel gewesen, so de Raadt.
LibreSSL soll zukünftig nicht nur BSD vorbehalten bleiben, sondern, ausreichende finanzielle Mittel vorausgesetzt, auch für Linux umgesetzt werden. Eine Webseite informiert kurz und knapp über den Fork von OpenSSL und dessen Ziele. Der Fortschritt der Arbeiten kann im CVS verfolgt werden.
Steve Marquess, Präsident der OpenSSL-Foundation, äußerte sich nicht zu dem Fork, da er den Code noch nicht kenne. Marquess hatte vergangene Woche auf die finanzielle Situation der Foundation aufmerksam gemacht und um Spenden gebeten, um OpenSSL besser betreuen zu können. Dabei wandte er sich mit verbittertem Unterton besonders an große Firmen, die OpenSSL einsetzen und viel Geld verdienen ohne etwas beizutragen.
"I’m looking at you, Fortune 1000 companies," Marquess wrote. "The ones who include OpenSSL in your firewall/appliance/cloud/financial/security products that you sell for profit, and/or who use it to secure your internal infrastructure and communications. The ones who don’t have to fund an in-house team of programmers to wrangle crypto code, and who then nag us for free consulting services when you can’t figure out how to use it. The ones who have never lifted a finger to contribute to the open source community that gave you this gift. You know who you are."
Zu Heartbleed sagte er, es sei kein Wunder, dass einige überarbeitete Entwickler den Fehler übersehen hätten, das Wunder sei, dass dies nicht öfter geschehe. Sollte OpenBSD LibreSSL auch nach Linux portieren, so ist es wahrscheinlich, wie die Vergangenheit in solchen Fällen zeigt, dass viele Distributionen den Fork anstelle von OpenSSL integrieren werden.