News : OpenSSL wurde FIPS-Zertifikat aberkannt [Update]

, 17 Kommentare

Wie das Open Source Software Institute (OSSI) mitteilt, wurde der freien Implementierung von SSL und TLS „OpenSSL“ das erst in diesem Jahr zugeteilte Zertifikat zum Einsatz der Software bei Behörden in den USA und Kanada wieder aberkannt.

Die sogenannte Zertifizierung nach FIPS (Federal Publication Processing Standards Publication) mit der Nummer 140-2 beschreibt die Art und Weise, wie elektronische Daten kryptographisch gesichert sein müssen, um als „sicher genug“ für den Einsatz bei Behörden in den Vereinigten Staaten von Amerika und Kanada gelten zu dürfen. Erst dieses Zertifikat für OpenSSL ermächtigte die offiziellen Stellen dazu, auch freie Software zu verwenden, anstatt wie bislang üblich auf teure Softwaremodule proprietärer Machart zurückgreifen zu müssen.

OpenSSL selbst ist eine Open-Source-Umsetzung des SSL/TLS-Protokolls. Es bietet darüber hinaus zusätzliche Funktionen zur Zertifikat-Verwaltung und weitere kryptographischen Funktionen. Die Basis der Software bildet das SSLeay-Paket, welches seinerzeit von Tim Hudson und Eric Young entwickelt wurde. OpenSSL wird zur Zeit von einer unabhängigen Gruppe weiterentwickelt.

Da OpenSource-Entwickler naturgemäß nicht über ausreichend Ressourcen verfügen und deshalb keine sonderlichen Anstrengungen unternehmen, aufwändige Zertifzierungen wie diese anzustreben, hatte sich das OSSI dessen angenommen und bekam nach einem längeren und anstrengenden Zertifizierungsprozess dann schließlich das ersehnte Zertifikat mit der Nummer 642. Aufgrund dessen konnten öffentliche Stellen in den USA und Kanada sich von proprietären Lösungen trennen und das kostenlos erhältliche OpenSSL verwenden.

Wie es aussieht, haben Anbieter eben dieser kostenpflichtigen Closed-Source-Implementierungen die Code-Basis von OpenSSL untersucht und Fehler aufgedeckt. Diese Fehler wurden gemeldet und führten schlussendlich zu dem Zertifikat-Entzug. Selbst eine sofortige Korrektur des Codes und der Anzeige der Fehlerbereinigung berechtigt nicht zur automatisch Re-Zertifizierung der Software. Anders als bei Qualitätssystemen reicht es nicht aus, die Beanstandung zu beheben und einen Nachweis dafür zu erbringen. Für eine erneute Ausstellung eines Zertifikats sei es erforderlich, den kompletten Code erneut zu validieren.

Dies bedeutet im Umkehrschluss schlimmstenfalls, dass der ganze Prozess wieder von vorne aufgerollt werden könnte, und bei jeder aufgedeckten Sicherheitslücke mit anschließender Programmänderung das ganze Prozedere erneut durchgeführt werden muss. Ob und inwieweit diese umfangreichen Maßnahmen auch in diesem Fall greifen werden, ist derzeit noch unklar. Fakt ist aber, dass das Open Source Software Institute diese Entscheidung zu Gunsten der OpenSSL-Nutzer anfechten wird.

Update 22.07.06: Offenbar war die Aberkennung des Zertifikats auf einen Fehler zurückzuführen und hätte lediglich kurzfristig außer Kraft treten sollen, wie Steve Marquess in einer Email mitteilt. Dem Code wurden die beanstandeten Teile entfernt und werde nun wiederholt geprüft. Marquess erwartet demnach die erneute Zuteilung des Zertifikats innerhalb der nächsten Tage.