OpenSSL – BSI hat Studien zu dem Verschlüsselungs-Verfahren veröffentlicht

2 Kommentare Autor: Jürgen (jdo)

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat eine Studie zur Verschlüsselungs- oder Kryptografie-Bibliothek OpenSSL veröffentlicht. OpenSSL ist weit verbreitet und das BSI hat es als notwendig erachtet, die Bibliothek analysieren zu lassen.

OpenSSL wird beim Online Shopping, Banking oder ganz einfach beim Surfen via HTTPS eingesetzt. Die Krypto-Bibliothek stellt das als sicher geltende Protokoll TLS (außer 1.0) zur Verfügung, das das als mittlerweile unsicher geltende SSL abgelöst hat.

Studie zu OpenSSL hat drei Teile

Die Studie besteht aus drei Teilen, die sich wie folgt zusammensetzen:

  • Dokumentation der Bibliothek
  • Untersuchung des Zufallsgenerators (Random Number Generator), den OpenSSL per Standard einsetzt
  • Schwachstellenanalyse von wichtigen kryptografischen Mechanismen

Das BSI hat die Ergebnisse auf seiner Website im PDF-Format zur Verfügung gestellt. Die Dokumente sind zwischen einem und drei MByte groß. Außerdem wurden sie der OpenSSL Software Foundation übermittelt, damit Schwachstellen behoben werden können.

Ich habe mal die Schwachstellenanalyse aufgemacht und die ist satte 183 Seiten lang. Die Security-Experten beschäftigen sich darin mit OpenSSL 1.0.1g. Gut gefällt mir, dass man an einigen Stellen die Angriffsmethoden in formal und realistisch unterteilt hat.

Im zweiten Kapitel gehen die Experten auf die Compiler Flags ein. Kapitel Drei dreht sich um die RSA-Schlüsselerzeugung.

Im vierten Abschnitt wird sich mit der Zertifikatsprüfung beim TLS Handshake beschäftigt und im fünften Kapitel mit dem Diffie-Hellmann-Verfahren (DH).

Für Entwickler könnte Abschnitt Sechs sehr interessant sein. Dort behandelt man die Implementierungsfehler in Cipher Suites. Dieses Kapitel ist fast 50 Seiten stark

Über die Konfiguration der Cipher Suites und dem Nachweis der Wirksamkeit beschäftigt sich die siebte Sektion.

Betreiber von Websites oder Entwickler von Webanwendungen sollten das achte Kapitel aufmerksam durchlesen. Hier geht es um Auswirkungen von Schwachstellen auf Webumgebungen. Unter anderem behandeln die Experten den sicheren Einsatz von Apache und Nginx.

Im neunten und letzten Abschnitt erfährst Du mögliche Schutzmaßnahmen. Dabei geht es um Zufallsgenerator, Schutzmaßnahmen für die Schlüsselerzeugung und die Unterstützung von SSLv3. Die Grundaussage hier ist, dass es zwar unterstützt wird, man es aber am besten gar nicht erst kompiliert – was nicht da ist, lässt sich nicht missbrauchen.

OpenSSL kann SSLv3 - allerdings gilt es als unsicher

OpenSSL kann SSLv3 – allerdings gilt es als unsicher




 Alle Kommentare als Feed abonnieren

2 Kommentare zu “OpenSSL – BSI hat Studien zu dem Verschlüsselungs-Verfahren veröffentlicht”

  1. Marcel R. says:

    Hey, danke für den Beitrag. Lese deinen Blog gern.
    Gibt es einen Grund, dass im Link zum BSI die SessionID mit enthalten ist? Würde ich rausnehmen. Geht auch ohne.

    Grüße M