News OpenBSD spaltet sich mit LibreSSL von OpenSSL ab

fethomm

Commander
Registriert
Okt. 2012
Beiträge
2.597
Die Entwickler des Unix-Derivats OpenBSD durchforsten seit einer Woche den Code der für den Heartbleed-Bug verantwortlichen Open-Source-Kryptografie-Software OpenSSL. Da der Code nach Aussagen von Projektleiter Theo De Raadt ein totales Durcheinander sei, entschloss sich das Team zu einer Abspaltung namens LibreSSL.

Zur News: OpenBSD spaltet sich mit LibreSSL von OpenSSL ab
 
Ändert nichts an dem Problem, dass alle Root-Zertifizierungsstellen unterwandert und unsicher sind und unsachgemäß geführt und nicht kontrolliert werden (können). Das Honest Achmet Problem ist aktueller denn je. https://bugzilla.mozilla.org/show_bug.cgi?id=647959

"3. Certificate Summary

The purpose of this certificate is to allow Honest Achmed to sell bucketloads of other certificates and make a lot of money.

...

CA Hierarchy information for each root certificate

1. CA Hierarchy

Honest Achmed plans to authorise certificate issuance by at least, but not limited to, his cousin Osman, his uncles Mehmet and Iskender, and possibly his cousin's friend Emin.

2. Sub CAs Operated by 3rd Parties

Honest Achmed's uncles may invite some of their friends to issue certificates as well, in particular their cousins Refik and Abdi or "RA" as they're known. Honest Achmed's uncles assure us that their RA can be trusted, apart from that one time when they lent them the keys to the car, but that was a one-off that won't happen again.

..."
 
Zuletzt bearbeitet:
Was ich gerade nicht verstehe - wieso ein Fork wenn das OpenSSL Projekt doch eigentlich dringend hilfe sucht? Wieso nicht direkt helfen? Was übersehe ich?
 
Mit dem Fork kannst du im Code veranstalten was du willst, du musst dich niemandem gegenüber erklären. Bspw. um die Hälfte des Codes zu entfernen. Wenn du im OpenSSL Code direkt die Hälfte des Codes gelöscht hättest, hätte man sich wohl erstmal erklären müssen und evtl. wäre es auch wieder rückgängig gemacht worden, wenn die Entwickler von OpenSSL das nicht gewollt hätten.
 
Am besten es würde eine komplett neue Version geschrieben. OpenSSL ist keine saubere API.
Die Frage ist nur wer hat die Zeit dafür.
 
Zoldyck schrieb:
Was ich gerade nicht verstehe - wieso ein Fork wenn das OpenSSL Projekt doch eigentlich dringend hilfe sucht? Wieso nicht direkt helfen? Was übersehe ich?

LibreSSL wird weniger Architekturen unterstützen, weniger Betriebssysteme ("Windows ist sowieso irrelevant", nicht mal Linuxsupport ist sichergestellt), weniger Features haben (keine Kryptobeschleunigungschips/-karten) und eventuell auch weniger Teile von SSL/TLS unterstützen (Heartbeat ist glaube ich gleich mal komplett geflogen, obwohl es klar spezifiziert ist - wobei man natürlich über die Sinnhaftigkeit streiten kann).

Im Endeffekt wohl ein ähnlicher Schritt wie bei NaCl - statt ALLES abzudecken, eben nur ein paar bekannt gute/sinnvolle Ciphers etc. anbieten, bevor da noch jemand auf die Idee kommt RSA512 einzusetzen.
 
Zoldyck schrieb:
Was ich gerade nicht verstehe - wieso ein Fork wenn das OpenSSL Projekt doch eigentlich dringend hilfe sucht? Wieso nicht direkt helfen? Was übersehe ich?

Das wurde doch ausgiebig erklärt von @AllanJude !

AW: Heartbleed möglicherweise bereits Ende 2013 ausgenutzt#104

See BSD Now episode 033 for news on the OpenBSD fork of OpenSSL

Ich such jetzt nicht die stellen raus wo er es anspricht ...
Ergänzung ()

DaysShadow schrieb:
Mit dem Fork kannst du im Code veranstalten was du willst, du musst dich niemandem gegenüber erklären.

Bei openBSD giebt es eine Leitlinie, keep it simple !

Wer redet hier eigendlich von libreSSL ?
Soweit, aus dem Gedächtnis entnommen war die Rede von libSSL, weil openopenSSL nicht zulässig ist und libXXX am sinnvollsten war :)
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libssl/#dirlist
 
Zuletzt bearbeitet:
Sukrim schrieb:
LibreSSL wird weniger Architekturen unterstützen, weniger Betriebssysteme ("Windows ist sowieso irrelevant", nicht mal Linuxsupport ist sichergestellt)

Windows besitzt eine eigene SSL-Implementierung. Daher irrelevant. Third Party Products können sicherlich weiterhin LibreSSL selbst einbauen. Ich sehe nicht wo dadurch weniger Betriebssysteme unterstützt werden sollen als mit OpenSSL. Was du mit "Architekturen" meinst ist mir in diesem Zusammenhang nicht ganz schlüssig. OpenSSL ist in C geschrieben, warum soll LibreSSL jetzt nicht auch für die benötigte Architektur kompiliert werden können? Hast du da etwas falsch verstanden oder weißt du mehr als ich? (Ernst gemeinte Frage)
 
Sofern Cryptodev supported wird, kann die Debiangroup das gerne einsetzten und openSSL verbannen .. :P
 
Die von Windows ist aber nicht freie Software und daher ist eine freie Bibliothek durchaus relevant. Mit "Architektur" meine ich z.B. Support für Systeme abseits von x86/x86_64. OpenSSL hat Code drinnen um auf jedem Klopapierhalter mit Internet zu laufen...

Sogar einfache "hello world" Beispiele werden dir nicht auf jede Plattform auf der man C ausführen kann funktionieren ("#include <stdio.h>" inkludiert so einiges, das nicht gerade trivial ist), siehe z.B. http://www.imb-jena.de/~gmueller/kurse/c_c++/c_hello.html
 
Nur dass dein Browserhersteller, dein Betriebssystemhersteller und sonst noch ein paar Leute für dich aussuchen, wem du vertraust - nicht du selbst.
 
Marco^^ schrieb:
Bei openBSD giebt es eine Leitlinie, keep it simple !
Das KISS - Prinzip heißt aber nicht, dass man nützliche Features über Bord werfen sollte, bloß weil man selbst sie nicht braucht. Was bringt der Welt eine Bibliothek, die am Ende nur bei OpenBSD sauber läuft? Die Welt braucht eine Lösung für das OpenSSL-Problem, sprich Entwickler die da durch sehen und sanft aber bestimmt die Mängel beseitigen.

Statt dessen wir hier wieder halbgarer Scheiß gekocht, der nur auf BSD läuft. Wer setzt schon auf BSD? Warum sollte jemand das LibreSSL - Team, wie von ihnen gefordert, finanziell unterstützen um z.B. Support für seine Linux- oder Windows-Maschinen zu erhalten? Warum sollte da jemand auch nur einen Cent locker machen?

Wenn ich Geld in ein SSL-Projekt investieren würde, dann hätte ich also 2 Optionen:
1.) Ich investiere in das OpenSSL - Team. Ich erhalte mit Sicherheit Support für all meine Geräte.
2.) Ich investiere in das LibreSSL - Team. Ich bete und hoffe, dass sie dann auch Support für meine Architekturen und Betriebssysteme einbauen.... und nicht nur die Version des für mich vollkommen nutzlosen BSD weiter ausbauen.

Hier will sich jemand schlicht und ergreifend auf Basis der Heartbleed-Lücke auf legalem Wege ne goldene Nase verdienen.
 
Das Ding gehört einfach von Grund auf neu aufgezogen, da steckt so unsagbar viel Müll drin (was aber auch den mülligen Spezifikationen geschuldet ist). Die "Großen" sollten sich da mal gemeinsam dransetzen, die Spezifikationen entschlagen und darauf dann openSSL neu aufbauen.
Ansonsten wird daraus eh nichts, weil das jetzt jeder forken wird und für sich das anpasst. Dann haben wir wieder so nen Querbett-Scheiß und sind kein Schritt weiter.
(imho)
 
OpenBSD programmiert BSD-Software. Mehr nicht.
Was ist daran verwerflich?

Sonst freuen sich doch auch immer alle über Forks und Alternativen.
 
craine schrieb:
OpenBSD programmiert BSD-Software. Mehr nicht.
Was ist daran verwerflich?
Es ist Schwachsinn, das ist alles. Erst kegeln sie allen Kompatibiltitäts-Code raus, dann wollen sie "Spenden" dafür, den Code wieder einzubauen. Ein Schelm, wer Böses dabei denkt.

So etwas läuft am Ende eh nur auf einen Forking-Wettstreit raus, bei dem dann jeder sein eigenes Süppchen kocht und alles auseinander driftet. Dagegen ist der Wayland - MIR - Konflikt ein kleines Geplänkel.
 
Für mich eh nicht verständlich, warum ein Projekt wie OpenSSL, das so aktiv und zahlreich Verwendung findet, keine wirkliche finanzielle Grundlage bekommt um die Entwicklung zu garantieren. Dürfte sich aber bestimmt bald ändern.
 
Zurück
Oben