BoringSSL: Google entwickelt OpenSSL-Fork

Mit BoringSSL hat Google angekündigt, eine eigene Version der Verschlüsselungssoftware OpenSSL zu entwickeln. Sie soll den Aufwand reduzieren, der durch Patches für OpenSSL entsteht. Zunächst integriert Google BoringSSL in Chromium. Später folgt auch Android.

Google setzt eine um eigene Patches ergänzte Version von OpenSSL in Chrome und Android ein. Allerdings müssen diese mit jeder neuen Veröffentlichung von OpenSSL angepasst werden. Der Konzern plant künftig, sämtliche Updates für OpenSSL für sein eigenes Projekt zu portieren und dann in BoringSSL einzufügen.

“Wir haben seit vielen Jahren zahlreiche Patches für OpenSSL genutzt. Einige davon wurden für das Haupt-Repository von OpenSSL akzeptiert, aber viele davon vertragen sich nicht mit den Zusagen von OpenSSL zur API- und ABI-Stabilität”, schreibt Adam Langley, Senior Software Engineer bei Google, in einem Blog.

Langley erklärt zudem, dass einige der Google-Patches zu experimentell seien. Der Aufwand sie für Chrome und Android zu pflegen sei zu groß geworden. Es sind mittlerweile mehr als 70 Patches für unterschiedliche Plattformen. Man wolle jedoch nicht OpenSSL als Open-Source-Projekt ablösen. Korrekturen für gefundene Fehler werde Google weiterhin einreichen. Darüber hinaus bleibe die Unterstützung von OpenBSD und auch die Core Infrastructure Initiative erhalten.

Mit LibreSSL hatte OpenBSD zum Jahresbeginn eine eigene Fork von OpenSSL gestartet. Es soll Google zufolge die Möglichkeit bestehen, Änderungen an LibreSSL und BoringSSL auszutauschen. “Wir haben bereits auf Anfrage einige unserer früheren Änderungen unter einer ISC-Lizenz neu lizenziert, und Code, den wir komplett neu schreiben, werden wir auch lizenzieren”, ergänzte Langley.

Googles Entwicklung einer eigenen OpenSSL-Version begrüßte der OpenBSD-Gründer Theo de Raadt. “Sicherheit hat Priorität, und nicht ABI-Kompatibilität. Genau wie bei uns”, sagte de Raadt. Google werde in Zukunft wahrscheinlich auch die Zahl der APIs reduzieren, da es weniger vorhandene Anwendungen unterstützen müsse. “Das gibt LibreSSL vielleicht die Möglichkeit, denselben Weg einzuschlagen, wenn die Anwendungen dazu bereit sind.”

Für Aufruhr sorgte Anfang April die als Heartbleed bezeichnete Schwachstelle in OpenSSL. Sie ermöglichte den Zugriff auf den flüchtigen Speicher eines Webservers. Angreifer könnten auf diese Weise kritische Informationen auslesen. Zudem wären sie in der Lage, den Server sogar gegenüber Dritten zu verkörpern. Dafür müssen sie nur an den Schlüssel des Originalservers gelangen. Aus diesem Grund mussten Betreiber OpenSSL-basierter Websites nicht nur ihre Server patchen, sondern auch SSL-Zertifikate neu ausstellen und die zugehörigen Schlüssel ersetzen.

Zwei Monate nach Bekanntwerden der Sicherheitslücke sind einem am Samstag veröffentlichen Blog von Errata Security weiterhin 300.000 Server anfällig für Heartbleed. Gegenüber Mai habe sich die Zahl nicht verändert.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de