zurück zum Artikel

Google entwickelt eigene SSL-Bibliothek

Peter Siering

Nach den groben Bugs in OpenSSL starteten die OpenBSD-Entwickler mit LibreSSL eine unabhängige Implementierung. Jetzt geht auch Google mit einem eigenen Projekt auf Distanz zu OpenSSL.

Schon geraume Zeit pflegt Google einen Satz eigener Patches für OpenSSL. Letztlich will Google die in seinem Browser Chrome verwendete Mozilla-SSL-Technik (NSS) ersetzen [1]. Die Patches jedoch fließen nicht alle in die offizielle Entwicklung zurück. Ein Teil der Änderungen vertrugen sich nicht mit den Versuchen der OpenSSL-Entwickler, API und ABI stabil zu halten; manche schätzt Google selbst als zu experimentell ein. Das schreibt Google-Mitarbeiter Adam Langley in seinem Weblog [2].

Andererseits greifen Google-Projekte wie Android und Chrome zunehmend auf die Google-Ergänzungen zurück. Allein deshalb blieb Android von der Heartbeat-Lücke zumeist verschont [3]. Die Entwickler haben sich deshalb entschlossen, die Art und Weise zu ändern, in der sie die Ergänzungen realisieren: Bisher haben sie diese an eine neue OpenSSL-Version angepasst (Rebase). Zukünftig wollen sie statt dessen Änderungen an OpenSSL in die eigene Code-Basis einpassen

Dadurch ensteht neben OpenSSL und LibreSSL [4] die dritte SSL-Implementierung, wobei die Google-Variante anders als LibreSLL nicht als 1:1-Ersatz dienen soll. Sie läuft unter dem Namen BoringSSL. Google will weiterhin Korrekturen an den OpenSSL-Entwickler zurückgeben und mit den LibreSSL-Entwicklern eng zusammenarbeiten. Der Code soll unter ISC-Lizenz stehen (einer abgewandelten BSD-Lizenz, unter anderem für BIND und OpenBSD).

Den BoringSSL-Code gibt es auf googlesource.com bereits als Git-Repository [5]. Google-Entwickler Langley berichtet in seinem Blog, dass der Code demnächst auch Bestandteil des Chromium-Repositorys werden soll, später auch von Android und Teil weiterer interner Projekte. Er untermauert, dass der SSL-Fork OpenSSL auch langfristig nicht ersetzen soll. (ps [6])

URL dieses Artikels:
https://www.heise.de/-2236224

Links in diesem Artikel:
[1] https://docs.google.com/document/d/1ML11ZyyMpnAr6clIAwWrXD53pQgNR-DppMYwt9XvE6s/edit
[2] https://www.imperialviolet.org/2014/06/20/boringssl.html
[3] https://www.heise.de/news/Smartphones-vom-SSL-GAU-fast-nicht-betroffen-2167793.html
[4] https://www.heise.de/news/Nach-SSL-GAU-Heartbleed-LibreSSL-sieht-sich-auf-dem-richtigen-Weg-2194490.html
[5] https://boringssl.googlesource.com/boringssl/
[6] mailto:ps@ct.de

Copyright © 2014 Heise Medien