Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsOpenSSL wurde FIPS-Zertifikat aberkannt [Update]
Wie das Open Source Software Institute (OSSI) mitteilt, wurde der freien Implementierung von SSL und TLS „OpenSSL“ das erst in diesem Jahr zugeteilte Zertifikat zum Einsatz der Software bei Behörden in den USA und Kanada wieder aberkannt.
Aber OpenSource hat es in dieser Hinsicht natürlich doppelt schwer: jeder Mensch der Welt hat Zugang zum Code und kann Fehler "leicht" ausfindig machen. Bei ClosedSource muss erst ein Fehler im Einsatz entdeckt werden - ist das nicht eigentlich schlimmer!?
Ich denke schon, dass man das nicht so lassen kann, aber was wäre denn, wenn es bei Microsoft Software genauso wäre? Müssten die dann auch jedes mal den Code ändern? Das wäre LOL. Käme schon etwas komisch. Dann müsste Microsoft endlich mal n gutes BS entwickeln.
Wenn man dann aber schon den Source Code durchforstet bis man das Zertifikat vergibt, dann frage ich mich doch, warum es da nicht aufgefallen ist. Und warum es ausgerechnet den Closed-Source Anbietern auffällt, die natürlich ein berechtigtes Interesse genau daran haben. Und bei denen man die gleiche Prozedur eben nicht durchführen kann. Scheinbar fällt ja bei der FIPS-Zertifizierung einiges durch den Rost...
Naja wenn OpenSSL tatsächlich unsicher ist, dann ist der Entzug sicher berechtigt. Aber dann muß auch das Verfahren zur Zertifizierung scheinbar verbessert werden, damit eben nicht die Konkurrenten die Arbeit der Behörde machen.
Das ist bezogen allein auf die zertifizierungschancen gerade der Nachteil, da das Zertifikat bei einer Meldung eines Fehlers, der ein Sicherheitsproblem darstellt, sofort entzogen wird und beim patchen die komplette, monatelange Zertifizierungsprozeur von vorne startet. In geschlossenen Lösungen tauchen solche Fehler seltener zu Tage, weil eben kein genauer Einblick in den Quekllcode möglich ist, ob das allerdings nun sicherer ist, ist scharf umstritten - das ist genau der jahrzehntealte Krieg zwischen Security through Oscurity (Sicherheit durch Verschleierung) und Security by Full Disclosure (Sicherheit durch vollkommene Offenlegung). Die meisten FLOSS-Projekte leigen irgendwo zwischen diesen beiden Lagern.
Ich denke mal hier lagen auch eindeutig Kommerzielle Interessen im Vordergrund, denn aus Qualitätssicherungs und Sicherheitstechnischer Sicht läßt sich ein derartiges Vorgehen nicht erklären, wenn die in der Industrie bei jedem kleinen Verstoß gegen die Regeln neu anfangen würden zu Zertifizieren anstatt sich mit dem Nachweis des Beseitigen des Fehlers zu begnügen dann wär die Wirtschaft bald Pleite oder die QM-Systeme werden abgeschaft weil das keiner mehr bezahlen kann.
Man unterscheidet zwischen zwei Arten der Validierung:
1.) White Box - Verfahren. Hier ist der Code verfügbar und wird mit in die Validierung einbezogen
2.) Black Box - Verfahren. Hier kann nur das Ergebnis bewertet werden, da der Code nicht vorliegt. Änderungen am Code sind nicht ersichtlich und wirken sich (hoffentlich) nicht negativ auf das Ergebnis aus.
Anders gesagt: Im Chatroom kannst Du behaupten, Du seist Arnold Schwarzenegger (BlockBox-Verfahren). In der Kneipe um die Ecke kannst Du es auch, nur wird es Dir schwerlich jemand glauben, weil dich jeder bemustern kann (WhiteBox-Verfahren)
ich finde open source ist vertrauenswürdiger, gerade bei der kryptographie.
jeder closed source anbieter kann doch hintertüren in die software eingebaut haben um an den schlüssel zu kommen. die würden bei einer validierung wo der code nicht vorliegt nur schwer zu finden sein.
bei open source ist die chance das sowas "absichtlich" drin ist sehr unwahrscheinlich.
irgendwie finde ich den Gedanken, die Zertifizierung komplett zu entziehen, wenn ein Fehler bekannt ist, ziemlich absurd. Sowas lädt doch dazu ein, der Konkurrenz eins reinzuwürgen oder bei sich selbst alle Fehler totzuschweigen, statt sie zu beheben.
@12: genau das ist ja die taktik der closedsource-anbieter - da niemand in ihren code reinschaun kann, werden nur offensichtliche fehler im zuge der anwendung bzw. durch mühsames reverse engineering aufgedeckt. da sich die wenigen anbieter am markt diesbezüglich aber offensichtlich drauf geeinigt haben, sich nicht gegenseitig vor den karren zu fahren und stattdessen den markt zu teilen, war ihnen openssl ein dorn im auge, da so der gesamten mischpoke gewinne entgangen sind. durch das anschwärzen bei der zertifizierungsstelle hat man diesen missliebigen konkurrenten nun erst einmal wieder aus dem weg geschafft und kann nun weiter bei den behörden abschöpfen (die bekanntlich gerne auch nen hammer für 15.000 $ kaufen statt ihn für deren 3 im baumarkt abzuholen )
Seht es mal positiv, jetzt wird der Code nicht nur von Hobby-Codern sondern auch von der Konkurrenz gecheckt, so fliegen Fehler wahrscheinlich noch schneller auf.
Dann ist zwar das Zertifikat weg, aber die Wahrscheinlichkeit, dass alle/mehr Fehler gefunden werden ist umso höher, sprich für die Qualität der Software ist es im Endeffekt gut.
@ 15: jaein, die anbieter der kommerziellen alternativen werden nur soweit fehler aufdecken wollen um die ungeliebte konkurrzenz aus den weg zuschaffen und das ist schlicht und ergreifend armselig.
Na und ?
Wenn die nen Fehler finden, dann gehe ich davon aus, dass der Fehler ansonsten nicht so ohne weiteres gefunden worden wäre (sonst wär er ja nicht mehr vorhanden) oder im schlimmsten Falle von jemandem der ihn ausnutzen würde. Somit ist der aus niederen Beweggründen gefundene Fehler immer noch besser als ein unentdeckter Fehler.
was du schreibst stimmt zwar, aber es kann gut sein (und ist wahrscheinlich..), dass diese Kommerzfirmen noch mehr Fehler darin entdeckt haben und dann immer nur einzelne melden, welche kritisch genug sind..
So muss dann jedes mal wieder die Zertifizierung von fips erneut geholt werden und sobald das geschehen ist, wird der nächste Fehler gemeldet, anstatt alle Fehler auf einmal zu melden..
So kann man auch etwas kaputtmachen..(wenn dann kein Geld mehr vorhanden ist..)
