Разработчики OpenBSD выпустили безглючную версию OpenSSL
- среда, 23 апреля 2014 г. в 03:10:43
Участники проекта OpenBSD работают над созданием одноименной операционной системы, а также смежных инструментов, таких как OpenSSH, OpenBGPD, OpenNTPD и OpenSMTPD. В связи с известными событиями вокруг библиотеки OpenSSL, в которой обнаружен опасный баг и которая известна ужасным качеством кода, решено запустить альтернативный проект LibreSSL. Это безглючная, очищенная версия OpenSSL.
OpenSSL считается стандартной библиотекой для криптографической защиты трафика с помощью протоколов SSL/TLS. Но репутация этой программы оказалась сильно подмочена багом Heartbleed. Как выяснилось, примерно две трети «защищенных» сайтов интернета в течение последних двух лет были открыты для прослушивания. Эксперты предполагают, что об этой уязвимости ведущие спецслужбы мира узнали в течение несколько недель после ее появления в 2012 году, и с тех пор активно эксплуатировали ее, собирая SSL-сертификаты и пароли пользователей с серверов по всему интернету. Инцидент вызвал массовую критику качества кода OpenSSL, плохо документированного и местами неграмотно написанного.
Проект LibreSSL должен стать достойной альтернативой OpenSSL. Его задача — избавиться от больших фрагментов кода, который имеет узкоспециализированное назначение, мало кому нужен и только захламляет кодовую базу. Среди таких фрагментов — код, который сами разработчики OpenSSL планировали удалить, но так и не сделали этого.
Тео де Раадт (Theo de Raadt), основатель и руководитель проектов OpenBSD и OpenSSH, говорит, что им уже удалось избавиться примерно от 90 000 строк кода на C и 150 000 строк содержимого в целом: «Мы пытаемся сделать код более понятным. 99,99% представителей сообщества не нужна поддержка VMS, а 98% не нужна поддержка Windows. Им нужна поддержка POSIX, чтобы могли запускаться Unix и Unix-производные. Людей не заботит FIPS. Код должен быть простым. Даже после всех изменений, кодовая база по-прежнему совместима с API. Наше целое собрание портов (8700 приложений) продолжает компилироваться и работать, после всех изменений».
Тео де Раадт заметил, что его организация не имеет отношения к сайту OpenSSL Valhalla Rampage, посвященному проекту LibreSSL. Он не знает, кто открыл этот сайт.