Unklarheiten über US-Sicherheitszertifizierung von OpenSSL
Aufregung um die Zertifizierung von OpenSSL nach dem Federal Information Processing Standard - erst war sie weg, nun soll sie wieder vorhanden sein.
- Daniel Bachfeld
Aufregung um die Zertifizierung von OpenSSL – erst war sie weg, nun ist sie wieder da. Nach Angaben von Steve Marquess, OpenSSL-Validation-Projektleiter des Open Source Software Institute (OSSI), wurde OpenSSL seine FIPS-Zertifizierung doch nicht entzogen. Vielmehr wurde sie im Zuge der neuen Evaluierung einer neu gelinkten Version (OpenSSL FIPS Object Module v1.1 (PDF)) nur zeitweilig aufgehoben. Der Mitteilung über die Anullierung der Zertifizierung sei nur aus Versehen veröffentlicht worden.
OpenSSL wurde im März 2006 als eine der ersten Open-Source-Lösungen im Rahmen des Computer Module Validation Program (CMVP) vom National Institute of Standards and Technology (NIST) nach dem Federal Information Processing Standard (FIPS) untersucht und nach FIPS-140-2 zertifiziert. Damit war der Einsatz in Regierungsbehörden und -organisationen zur Verarbeitung nicht klassifizierter, aber vertraulicher Daten möglich. Mit zertifizierten, kostenlosen Open-Source-Produkten ließe sich in den US-Behörden enorm viel Geld sparen. Einer der Befürworter ist nach Angaben der OSSI die Defense Information Systems Agency (DISA) des US-Verteidigungsministeriums.
Vergangene Woche gab es Meldungen, das Zertifikat sei zurückgezogen worden, weil es Probleme mit der Kapselung eines Moduls gab. Daraufhin erschien auf der Webseite des CMVP zunächst der Hinweis, das Zertifikat sei zurückgezogen. Kurz darauf war es nicht nicht mehr verfügbar. Derzeit steht das Zertifikat (PDF) immer noch nicht zum Download bereit.
Die Probleme, die das Durcheinander verursachten, seien aber nach Angaben der OSSI mittlerweile gelöst und man warte auf die neuen Ergebnisse der Evaluierung. Auf der OpenSSL-Developer-Mailingliste gibt es allerdings Zweifel, ob sich die Probleme so schnell aus der Welt schaffen lassen. So rufe der betroffene Code externe Funktionen auf, die zu Sicherheitsproblemen führen. Zudem gebe es Probleme mit der Implementierung des Verschlüsselungsalgorithmus DES.
Siehe dazu auch: (dab)
- Open Source encryption module loses FIPS certification, Bericht von GCN
- Re: FIPS 140-2 Validation Revoked, Stellungnahme von Steve Marquess
