Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik haben zwei Firmen den Zufallsgenerator der OpenSSL-Bibliothek unter die Lupe genommen. Außerdem wurde die Absicherung gegen bekannte Angriffe auf SSL/TLS-Angriffe abgefragt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Ergebnisse einer Sicherheitsüberprüfung von OpenSSL veröffentlicht. Gefunden wurden dabei vor allem kleine Schwächen im Pseudozufallszahlengenerator (PRNG) der Software. Hinzukommen irreführende Konfigurations-Optionen und Compiler-Flags, die nicht richtig funktionieren oder unerwartete Effekte auslösen. Schwerwiegende Sicherheitslücken werden in dem Bericht nicht aufgedeckt.
Weiterlesen auf heise.de
Quelle: heise