Menü

Nach SSL-GAU Heartbleed: LibreSSL sieht sich auf dem richtigen Weg

Die Macher des OpenSSL-Forks ziehen nach 30 Tagen Entwicklung eine positive Bilanz. Man habe viel "schrecklichen Code" gesehen, aber auch viele Fortschritte gemacht. Trotzdem gäbe es noch viel zu tun, wenn man einen neuen Heartbleed-GAU verhindern wolle.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 221 Beiträge
Von

Die Speicherverwaltung von OpenSSL könne man nur auf einen Weg reparieren: "Nuke it from orbit!"

Etwa einen Monat nach der Ankündigung des OpenSSL-Ablegers ziehen die Entwickler von LibreSSL eine positive Bilanz: Man habe aus den Fehlern des Mutterprojektes gelernt und sei auf dem Wege der Besserung. Am Quellcode von LibreSSL würde "von einer ganzen Zahl von OpenBSD-Entwicklern" ausgiebig gearbeitet. Das Projekt hat es sich zum Ziel gesetzt, den OpenSSL-Code zu entschlacken und bekannte Probleme mit der SSL-Bibliothek zu beheben. Das soll einen weiteren GAU wie Heartbleed verhindern.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

mehr anzeigen

In seinem Vortrag auf der Konferenz BSDCan 2014 fand der Leiter der OpenBSD Foundation, Bob Beck, deutliche Worte für das Mutterprojekt. Wichtige Fehler seien zu lange ignoriert worden und die LibreSSL-Entwickler hätten viel "schrecklichen Code" gesehen. Doch auch die OpenBSD-Entwickler haben laut Beck Mitschuld – man habe von der schlechten Code-Qualität gewusst und weg geschaut. Zu hoffen, dass Bugs von Upstream-Entwicklern irgendwann repariert würden, sei ein Fehler gewesen.

Mit LibreSSL gehen die Entwickler viele der Bugs aus dem Ticketsystem von OpenSSL direkt an. Außerdem wurde viel aus dem Quellcode gestrichen: Unter anderem von den Entwicklern als überflüssig deklarierte Subsysteme und die Kompatibilität mit veralteter Software. Der Quellcode sei jetzt kleiner, aufgeräumt und lesbarer.

Man wolle in Zukunft auch die API der Bibliothek verkleinern und weitere überflüssige Bestandteile entfernen, sagte Beck in seinem Bericht. Für die Finanzierung der Entwicklungsarbeit sucht die OpenBSD Foundation immer noch nach Sponsoren. Die Linux Foundation habe auf eine Anfrage hin finanzielle Unterstützung für LibreSSL erst einmal abgelehnt. (fab)