Google kündigt OpenSSL-Fork „BoringSSL“ an

Google hat eine eigene Version der Verschlüsselungssoftware OpenSSL angekündigt. Der Internetkonzern will damit den Aufwand reduzieren, der durch Patches für OpenSSL entsteht. Das BoringSSL genannte Projekt soll zuerst in Chromium und später auch in Android integriert werden.

Derzeit verwendet Google für Chrome und Android eine um eigene Patches erweiterte Version von OpenSSL. Mit jedem neuen Release von OpenSSL müssen aber auch alle Google-Patches angepasst werden. Künftig will Google alle Updates für OpenSSL für sein eigenes Projekt portieren und dann in BoringSSL integrieren.

„Wir haben seit vielen Jahren zahlreiche Patches für OpenSSL genutzt. Einige davon wurden für das Haupt-Repository von OpenSSL akzeptiert, aber viele davon vertragen sich nicht mit den Zusagen von OpenSSL zur API- und ABI-Stabilität“, schreibt Adam Langley, Senior Software Engineer bei Google, in einem Blogeintrag.

Einige der Google-Patches seien auch zu experimentell, so Langley weiter. Mit insgesamt mehr als 70 Patches für unterschiedliche Plattformen sei der Aufwand, sie für Chrome und Android zu pflegen, einfach zu groß geworden. Es sei aber nicht das Ziel, OpenSSL als Open-Source-Projekt zu ersetzen. Google werde auch weiterhin Korrekturen für gefundene Fehler in OpenSSL einreichen. Zudem werde es weiter OpenBSD und auch die Core Infrastructure Initiative unterstützen.

OpenBSD hatte Anfang des Jahres eine eigene, LibreSSL genannte Fork von OpenSSL gestartet. Google zufolge soll es möglich sein, die Änderungen an LibreSSL und BoringSSL auszutauschen. „Wir haben bereits auf Anfrage einige unserer früheren Änderungen unter einer ISC-Lizenz neu lizenziert, und Code, den wir komplett neu schreiben, werden wir auch lizenzieren“, ergänzte Langley.

Der OpenBSD-Gründer Theo de Raadt lobte Google für die Schaffung einer eigenen OpenSSL-Version. „Sicherheit hat Priorität, und nicht ABI-Kompatibilität. Genau wie bei uns“, sagte de Raadt. Im Lauf der Zeit werde Google wahrscheinlich auch die Zahl der APIs reduzieren, da es weniger vorhandene Anwendungen unterstützen müsse. „Das gibt LibreSSL vielleicht die Möglichkeit, denselben Weg einzuschlagen, wenn die Anwendungen dazu bereit sind.“

OpenSSL hatte Anfang des Jahres durch den Heartbleed-Bug für Schlagzeilen gesorgt. Die Schwachstelle gab Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten könnten Angreifer kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschaffen. Einem am Samstag veröffentlichten Blogeintrag von Errata Security zufolge sind auch zwei Monate nach Bekanntwerden der Sicherheitslücke noch 300.000 Server anfällig für Heartbleed. Die Zahl habe sich gegenüber Mai nicht verändert.

[mit Material von Chirs Duckett, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de