CleanPress

Void Linux kehrt LibreSSL den Rücken und zu OpenSSL zurück

Verfasst von

sla

in

Einige Distributionen sind 2014 nach der Heartbleed getauften Sicherheitslücke, einem schwerwiegenden Fehler in der TLS-Implementation von OpenSSL, zu LibreSSL gewechselt, einer freien Implementierung des Verschlüsselungsprotokolls TLS. Void Linux wechselt nun am 5. März zurück zu OpenSSL, wie den News auf der Webseite des Projekts zu entnehmen ist.

250.000 Zeilen leichter

OpenSSL stellt die Basis für eine Reihe wichtiger kryptografischer Funktionen zur Verfügung, es bietet TLS- und SSL-Implementierungen und eine Reihe von Dienstprogrammen für Funktionen wie Schlüsselerzeugung und Signierung. LibreSSL entstand im Nachgang von Heartbeat im OpenBSD-Team um Theo de Raadt und sollte das komplexe OpenSSL entschlacken. LibreSSL war zwar als API-kompatibel zu OpenSSL ausgelegt, ist es aber derzeit nicht vollständig. Für den Fork wurden um fast 250.000 Zeilen Code entfernt.

Wenig Adaption unter Linux

Neben BSD-Projekten setzten auch einige Linux-Distributionen wie Alpine Linux, Hyperbola GNU/Linux und Void Linux LibreSSL als Ersatz für OpenSSL ein, Gentoo bot es als Alternative an. Alpine wechselte 2019 zurück zu OpenSSL, Gentoo hat im Februar die Unterstützung für LibreSSL aufgegeben. Somit ist Void Linux das dritte Projekt, dass sich wieder von den Fork abwendet.

Mehrarbeit nicht zu rechtfertigen

Als Grund für den Schritt zurück wird allgemein der hohe Pflegeaufwand genannt, der nicht ausreichend durch Vorteile gegenüber OpenSSL gerechtfertigt werden könne. Der Journalist und Sicherheitsexperte Hanno Böck, der auch als Gentoo-Entwickler tätig ist, drückt es so aus:

Ich glaube, dass so ziemlich alles, was LibreSSL ursprünglich war (konsistenter Kodierungsstil, Aufräumen von veraltetem/totem Code usw.), heutzutage in OpenSSL passiert ist. Es ist eher so, dass es einen Mythos um LibreSSL aus diesen frühen Tagen gibt (wo die Leute dahinter damals berechtigte Kritik an OpenSSL geäußert haben), als irgendeinen wirklichen Wert.

Python will LibreSSL nicht mehr unterstützen

Die Void-Entwickler kommen nun ebenfalls zu der Erkenntnis, das LibreSSL die Mehrarbeit durch die vielen notwendigen Patches nicht rechtfertigt und kehren zu OpenSSL zurück. Als Beispiele werden die Qt5- und die kommende Qt6-Implementierung bei Void ebenso angeführt wie Probleme bei Python, das in Betracht zieht, die LibreSSL-Unterstützung gänzlich einzustellen. Ein Vorschlag, künftig nur noch OpenSSL 1.1.1 LTS oder neuer zu unterstützen wurde im Oktober 2020 in PEP 644 formuliert.

Der Letzte macht das Licht aus

Ein Vorteil von LibreSSL ist laut den Void-Entwicklern die Bibliothek libtls, die OpenSSL nicht unterstützt. Hier will Void eine eigenständige Version erarbeiten. Mit dem Schritt von Void Linux zurück zu OpenSSL scheint die Unterstützung von LibreSSL unter Linux der Vergangenheit anzugehören, denn der vorletzte Vertreter Hyperbola wendet sich gänzlich von Linux ab und basiert bald völlig auf OpenBSD. Es verbleibt lediglich OpenELEC. Die Situation von LibreSSL in Linux wird detailliert von einem Artikel auf LWN zusammengefasst.

Kommentare

5 Antworten zu „Void Linux kehrt LibreSSL den Rücken und zu OpenSSL zurück“

  1. Avatar von Steven
    Steven

    Es verbleibt lediglich OpenELEC

    OpenELEC wird seit fast 4 Jahren nicht mehr weiterentwickelt. Würde OpenELEC daher nicht mehr unbedingt dazuzählen.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Stimmt, habe ich mit LibreELEC verwechselt, das aber OpenSSL nutzt.

      Antworten
  2. Avatar von Henry
    Henry

    Naja, OpenBSD wird wohl weiter an LibreSSL festhalten, da es ja quasi eine „in-house“ Entwicklung ist. Ob LibreSSL noch von anderen Projekten benutzt wird interessiert die Entwickler dabei recht wenig.

    Von OpenBSD kamen im Laufe der Zeit viele coole Dinge, aber es ist auch dort nicht alles Gold was glänzt und auch der Ton auf den Mailinglisten, insbesondere von Theo de Raadt, ist teilweise nicht einfach – besonders wenn es um Kritik an OpenBSD geht. Insofern kann ich verstehen, wenn Hanno Böck von einem „Mythos“ spricht.

    Antworten
  3. Avatar von Nick
    Nick

    Absolut nachvollziehbar das wieder zu OpenSSL gewechselt wird. Hier hat sich über die letzten Jahre tatsächlich tiefgreifendes getan, was man letztlich auch an den dramatisch zurückgegangenen Sicherheitslücken sehen kann. Aber auch wenn sich OpenSSL vielfältig verbessert hat, so taugt es nach wie vor nur mangelhaft, um lokal via Kommandozeile Daten zu verschlüsseln. Alles zu kompliziert samt mangelhafter Standards, und jede Menge an Optionen die massig Raum für Fehler bieten. Das einzige was hier seit langem verändert wurde, sind partiell nicht bindende Warnungen die grobe Hinweise geben, aber einen Anfänger schützt das recht wenig. Nun ja und AEAD-Verschlüsselung auf der Kommandozeile, haben die Entwickler hinter OpenSSL auch konsequent abgelehnt, was OpenSSL nachhaltig für diesen Einsatz disqualifiziert, obwohl die Funktionalität grundsätzlich vorhanden wäre. Aber glücklicherweise gibt es Alternativen wie „age“ und „Sequoia-PGP“, um zukünftig gut gerüstet zu sein. Letztere sind unter anderem bereits in Debian „age, rust-sequoia-sq“ verfügbar, wie auch „signify-openbsd“ als leichtgewichtige Alternative zum signieren und verifizieren.

    Antworten
  4. Avatar von Atalanttore
    Atalanttore

    Die Arbeit an LibreSSL war letztendlich also nutzlos, weil OpenSSL sich ebenfalls weiterentwickelt hat.

    Wenn die Entwickler von LibreSSL sich an OpenSSL beteiligt hätten, wäre OpenSSL heute wahrscheinlich noch weiter.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge