OpenSSL godkänd av DHS (?)

7/26/2012

Jag fick ett pressmeddelande med The Department of Homeland Security Science and Technology Directorate som avsändare via min pressmeddelande prenumeration jag har god anledning att tro är riktigt även om jag nu inte lyckats hitta motsvarande pressmeddelande hos DHS (eller via Google-sökning generellt på .gov på titel och undertitel) men det finns citerat sist. Enligt pressmeddelandet är Openssl.org nu godkänd för amerikanska myndigheter att använda (regelverk o.s.v. bör bäst kontrolleras vilket jag inte gjort).


Detta är intressant dels personligt genom att jag minns när det något innan jag började på Ericsson som timanställd 1999 hade blivit godkänd som det första open source och som jag arbetade en hel del med (bl.a. gjorde jag en mini-implementation av SPKM med det som krypteringsbibliotek) de kunde använda. Det är ett och var ungefär lika mycket då starkt ramverk genom att:


  • Det var väsentligt billigare än kommersiella alternativ då tydligast i dåvarande RSA:s SSL-produkt som precis som OpenSSL var byggd från SSLeay och vid den tidpunkten i princip inte skilde sig åt.
  • Biblioteket är funktionellt för alla möjliga protokoll-alternativ och situationer, och är genom det också ett oerhört kraftfullt generellt krypteringsbibliotek genom att det gör att stöd för det mesta finns.

Den stora nackdelen med OpenSSL då och fortfarande verklig är att det enormt komplex kod och den är föga utvecklad för att meningsfullt kunna följa program-komplexiteten. Vid den tiden kunde antal defines innan man ens nådde funktionen som gått fel räknas i som värst om jag minns rätt 30 - 50 st. Och det fanns en hel del fel i koden av den mer "transienta" föga förvånande för C minnes-relaterade problematiken vilket krävde och troligt kräver fortfarande inkapsling givet att själva komplexiteten i protokollen och antal exekveringsvägar ovanliga val där kan inducera gör att saker annars troligt kan missas.


Av samma anledning som ger OpenSSL en nersida är det tilltalande att de amerikanska myndigheterna söker reducera kostnader genom att göra det till ett alternativ. De har tämligen höga krav på säkerhet upp till väldigt höga och har resurser både i egna anställda och pengar att finansiera saker och ting med för att stödja projektet säkerhetsmässigt.


Värdet av det finns inte minst i att OpenSSL används i ett enormt antal produkter. Mer än tror jag allt webb-nätverks-relaterat som inte direkt är TCP/IP-stacken (även om det säkert finns vanligare saker som inte är naturligt för mig att tänka på).


Potentiella ev. mer problematiska säkerhetshål i OpenSSL behöver om/när existerande vara enkla att hitta eller ens särskilt sannolika att de större grupperna av personer engagerade i att upptäcka sådana ska identifiera. Protokoll-komplexiteten gör det mer resurskrävande och än mer när det sätts i kontext av t.ex. en webbserver.


Däremot gäller att riktad resursstark sökning efter säkerhetsproblem kan nå längre. Det innebär inte självklart värde utan kan lika gärna vara säkerhetshål som identifieras för användning i riktade angrepp, cyber warfare eller olämplig extraktion av information av främmande makt (vad ex. Sverige om drabbat antagligen skulle kalla spioneri men inte behöver vara det i landet därifrån det gjorts).


Värdet är därför mer generellt än just för amerikanska myndigheter utan berör lika mycket ett enormt antal svenska företag, organisationer och privatpersoner anslutna till webben antingen som klient eller server där SSL används.


Att realisera det amerikanska värdet (komiskt avsnitt)


Vill vi generalisera lite kan vi se det som att en lämplig strategisk satsning av någon svensk myndighet (kanske en invers av exportrådet?) tittar över möjligheter att uppmuntra amerikanerna eller andra lämpliga länder att lösa problem åt sig själva och oss samtidigt. Svenskar uppföljer ofta amerikaner som havande kraftigt självförtroende och ibland ta mycket plats. Deras större storlek och sedan länge stora roll i världen har nog också givit dem en större benägenhet till att snabbare tänka motivation framåt vid utmaningar eller ännu mer (tips för svensk strategi) antyder att de kanske inte klarar av något därför att de blivit gamla trötta kanske jämföra med det gamla spanska imperiet som många inte bara myter och stereotyper finns välkända i USA rörande hur deras besittningar i Mellan- och Sydamerika föll bort. Exempel:


- Well [President / Senator / Madame / Mr] NN I will be asking Libya to help us with this big [ie subway / IT-system] we have problems with. They seem so full of energy getting things done. You tired down with all your economical problems perhaps could have use to listen in. I am sure they are quite good.

Det går säkert bra att göra med Tyskland också. De börjar ju äntligen få självförtroende också i utrikespolitik som länge kanske en god sak inte har varit vad de uttryck sin bild av särskilt mycket. Men kriget var många år sedan och de är duktiga på mycket och kan nog ge en viktig kompletterande bild. Det innebär ju samtidigt att de kan uppleva att det är viktigt att visa sig duktiga och att de kanske känner att dom inte alltid är så välkomna i utrikespolitiken:


- The English and France all claims you are bunch of nazis and the americans are sure you know nothing about tech since you have got a "Google" or "an" "Apple". But here in Sweden we love you: Your great television machine: Samsung and your Sony corporation keep impressing us.

Några idéer. Det känns som att det är outnyttjad revenue att hämta. Föga kostnad och stora potentiella värden. Kanske kan någon rent av övertyga dem om att åka upp i rymden och hämta ner diverse mineraler det är brist på här. Man ska vara tämligen hungrig på något - eller inte värdera sitt liv - för att få för sig att bli gruvarbetare i rymden.


Pressmeddelandet


Washington, DC– The Department of Homeland Security Science and Technology Directorate (S&T) today announced the validation and availability of an open-source cybersecurity tool for securing information shared across the Internet. Government agencies required to use cryptographic software validated to Federal Information Processing Standards (FIPS), will now have access to Open Secure Socket Layer (OpenSSL v2.0), a free, publicly available security software that meets federal security guidelines.


“OpenSSL is a widely-used component in many software security applications,” said Luke Berndt, DHS Program Manager for the Homeland Open Security Technology (HOST) program. The mission of the HOST program is to identify viable and sustainable open source solutions that support national cybersecurity objectives. “With this program available for government use, the nation’s critical online information will be safer while the government will find greater cost savings.”


The National Institute of Standards and Technology validated the Open SSL using the FIPS 140-2 security standard for testing cryptographic modules. This validation is required for cryptography used to protect sensitive or valuable data within the federal government. The validation process was funded by DHS S&T and other government agency and private sector partners.


“DHS S&T’s investment in the validation process for OpenSSL will help government users access the latest security software, and allow software developers to integrate OpenSSL into the products they offer to government clients,” said Berndt. “This collaborative effort is a great example of how government and industry can both benefit from the use of open source software.”


More information about the new FIPS 140-2 validated OpenSSL module is available at http://openssl.org/.

0 kommentarer

Kommentera