Artikel top billede

Google udvikler alternativ til OpenSSL: Nu kommer 'BoringSSL'

Google vil udvikle sin egen version af vigtig krypteringskode, der har fået et ordentligt drag over nakken.

Google er i fuld gang med at udvikle sin egen udgave af krypterings-softwaren OpenSSL, der bliver udviklet til at passe bedre sammen med Googles øvrige software.

Google har ellers anvendt OpenSSL i årevis til kryptering, men har

Det skyldes ikke mindst, at OpenSSL står i centrum for et af forårets helt store sikkerhedsproblemer, Heartbleed, som hackere kan anvende til at stjæle data eller kompromittere selve den krypterede forbindelse.

Det kan du læse mere om her: Advarsel efter blødende sikkerhedshul: Skift dit password til Gmail og Facebook

Hertil kommer, at der fornylig er blevet fundet nye sårbarheder i OpenSSL. Det kan du læse mere om her: Ny alarm: OpenSSL bløder igen.

Googles nye OpenSSL-lignende krypterings-alternativ har fået arbejdstitlen 'BoringSSL,' og skal erstatte OpenSSL.

Når Google er færdig med udviklingsarbejdet, vil selskabet videregive det færdige resultat til OpenSSL, der er baseret på open source.

Google har gennem årene stået bag adskillige patches til OpenSSL, men de har ikke altid været kompatible med de API'er, som Google har anvendt.

Det har betydet, at Google har været nødt til at skrive nye og særligt tilrettede patches til eksempelvis Android og Chrome, så der i dag er omkring 70 patches i OpenSSL på tværs af forskellige kode-baser.

Det betyder, at kompleksiteten pludselig er blevet ret høj.

"Derfor skifter vi til en model, hvor vi importerer ændringer fra OpenSSL fremfor at 'rebase' oven på dem," skriver Google-udvikler Adam Langley på sin blog.

Google vil også arbejde på at optage kode-ændringer fra LibreSSL, der blev etableret i kølvandet på Heartbleed af en række udviklere, der var utilfredse med OpenSSL.

Folkene bag LibreSSL har siden gennemgået OpenSSL-koden for sårbarheder og indskrevet en række forbedringer i koden.

Læs også:

Værd at vide om Heartbleed: Fem svar der kan hjælpe dig

Manden bag kæmpe sikkerhedshul i OpenSSL: Det var ikke med vilje

Advarsel efter blødende sikkerhedshul: Skift dit password til Gmail og Facebook




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Er der en vej uden om usikker, kostbar og kompleks clouddrift?

Få indsigt i konklusionerne fra en nylig, storstilet undersøgelse fra Computerworld og Veritas med svar fra mere end 100 danske IT-topchefer i detaljer om deres erfaringer med de seneste års bevægelse mod cloudbaserede platforme og services. Derudover får du bud på, hvordan man som virksomhed både høster fordelene ved øget clouddrift og et stigende antal leverandører. Vel at mærke samtidig med, at man får det overblik, som gør det muligt at drive infrastrukturen sikkert og effektivt.

05. oktober 2023 | Læs mere


OT-sikkerhed i produktionsmiljøer - hvor kommer truslerne fra og hvordan opnår I optimal modstandsdygtighed overfor cyberangreb?

Til trods for den intense fokus på cybersikkerhed og NIS2 er mange produktionsvirksomheder og organisationer stadig usikre på, hvad de konkret skal gøre for at sikre, at de lever op til direktivets nye skærpede krav, når det gælder risikostyring, dokumentation og indberetning samt kravene om at garantere sikkerheden igennem hele forsyningskæden – og det ansvar, der følger med.

10. oktober 2023 | Læs mere


Øg virksomhedens agilitet med modulære og fleksible forretningssystemer

Hvordan kan kravet til øget fleksibilitet og agilitet afspejles i din virksomheds valg af forretningssystemer? Med udgangspunkt i Microsoft Dynamics 365-platformen giver vi i webinaret inspiration til, hvordan du bliver i stand til at reagere hurtigt på skiftende markedsvilkår, begivenheder og kriser, der kan udfordre din forretning.

11. oktober 2023 | Læs mere