OpenSSL単語

オープンエスエスエル
  • 1
  • 0pt
掲示板へ

OpenSSLとは、オープンソースで作られたツールキットのひとつである。

概要

セキュリティ標準規格「FIPS 140-2 [1]」にて承認された、初のオープンソースプログラムである。

エリックヤング(Eric A. Young)とティムハドソン(Tim J. Hudson)の二人によって開発された「SSLeay」というライブラリを基に作られており、二大暗号プロトコルであるSSLとTLSサポートしている。

OpenSSLはWindowsLinuxBSDSystemMacOSSolarisなどの複数のプラットフォームに対応している。

問題

Valgrind問題 (2008)
Linux、Andoroid系のソフトウェア開発ツール「Valgrind」に対応するため、Debianディストリビューション内に含まれていたOpenSSLに対してパッチを当てたところ、擬似乱数の発生アルゴリズムが狂って機しなくなり、予測しやすい暗号鍵が生成されるというバグが発生した。
ハートブリード問題 (2014)
2011年からリリースしている「1.0.1」系列および「1.0.2 beta」において、メモリ関連のバグがあることが2014年に発表された。このバグを利用されると、サーバ側のメモリを読まれたり暗号鍵の情報が盗まれる可性がある。

関連リンク

関連項目

脚注

  1. *アメリカ国立標準技術研究所(NIST)とカナダ・通信セキュリティ機関(CSE)によって共同運営されている暗号モジュールプログラム、そのセキュリティ標準規格のこと。

【スポンサーリンク】

  • 1
  • 0pt
スマホ版URL:
https://dic.nicovideo.jp/t/a/openssl

この記事の掲示板に最近描かれたお絵カキコ

お絵カキコがありません

この記事の掲示板に最近投稿されたピコカキコ

ピコカキコがありません

OpenSSL

1 ななしのよっしん
2014/04/14(月) 15:55:15 ID: ihwU/1VxPJ
今回の騒動、ニコニコのパスも変えた方がいいんかな?(´・ω・`)
2 ななしのよっしん
2014/04/15(火) 19:21:31 ID: zBkPtUzOKr
記事あったのか
大変なことになっとるわ。まる2年も発覚しなかったとかおいおい
しかも使われてる台数が途方もなく多いから隅々まで情報パッチがいきわたるのにどれくらいかかることやら

現時点ではXPサポート切れよりよっぽどヤバイ
3 ななしのよっしん
2014/05/03(土) 22:32:00 ID: lBldK/OJgg
OpenSSLって性はともかくAPIがものすごく使いづらい印があるんだけど実際どうなんだろう。
デザイン的な不味さとかはないのかな?
4 ななしのよっしん
2014/05/04(日) 08:07:59 ID: G6k5+7gV/d
今回のOpenSSL脆弱性騒動って世界的規模のヤバいことだけど
わりと専門的な領域の話だから、専門外のひとにはなんのこっちゃって感じだった印
そういうのを周辺情報も含めてわかりやすく描いた漫画とかあればいいんじゃないかと思った

余談だけど多分この騒動をテーマにしたりオマージュしたりする創作がいるはず
皆が忘れた数年後にそういう作品が世に出てくるはず
5 ななしのよっしん
2015/08/15(土) 00:29:10 ID: lBldK/OJgg
仕事で掘ってみて分かった。OpenSSL実装ゴミの山だわ。
デフォルト設定が腐ってるとか、コンフィグによってオプション外すだけでビルドできなくなることがあるとか、管理・テストがまともにやれてるとは思えない。正直オープンソースの暗部が詰まってるな。
幾つかOpenSSLベースフォークしてるけど、これを直すぐらいなら新規で起こした方が良いんじゃないか。