Ero sivun ”OpenSSL” versioiden välillä
Pb (keskustelu | muokkaukset) p (openvpn) |
p (→Muut) |
||
(14 välissä olevaa versiota 6 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
OpenSSL avoimen lähdekoodin on työkalu [[SSL]] v2/v3- ja [[TLS]] v1 -protokollien käsittelyyn. Sen avulla on myös mahdollista mm. luoda ja hallita julkisia ja yksityisiä salausavaimia, X.509-sertifikaatteja, laskea tarkistussummia ja käsitellä S/MIME-allekirjoitettuja tai -salattuja sähköposteja. [[HTTPS]]-salattu verkkosivusto voidaan toteuttaa OpenSSL:n ja esimerkiksi [[ | {{Ohjelma | ||
| nimi=OpenSSL | |||
| kuva=[[Tiedosto:OpenSSL logo.svg]] | |||
| kuvateksti= | |||
| lisenssi=[[Apache-lisenssi|Apache]], [[BSD-lisenssi|BSD]] | |||
| käyttöliittymä=kirjasto | |||
| kotisivu=[https://www.openssl.org/ openssl.org] | |||
| lähdekoodi=[https://github.com/openssl/openssl https://github.com/openssl/openssl] | |||
}} | |||
'''OpenSSL''' avoimen lähdekoodin on työkalu [[SSL]] v2/v3- ja [[TLS]] v1 -protokollien käsittelyyn. Sen avulla on myös mahdollista mm. luoda ja hallita julkisia ja yksityisiä salausavaimia, X.509-sertifikaatteja, laskea tarkistussummia ja käsitellä S/MIME-allekirjoitettuja tai -salattuja sähköposteja. [[HTTPS]]-salattu verkkosivusto voidaan toteuttaa OpenSSL:n ja esimerkiksi [[nginx]] avulla. [[OpenVPN]] on OpenSSL:n avulla toteutettu, avoin [[VPN]]-protokolla. OpenSSL:stä on myös saatavilla [[OpenBSD]]-projektin tekemä turvallisempi haarauma [[LibreSSL]]. | |||
==Tiedostojen salaus== | |||
OpenSSL:n avulla voidaan myös salata tiedostoja. OpenSSL tukee useita algoritmeja, joista yleisin lienee [[wikipedia:en:Advanced Encryption Standard|AES]]. | |||
$ openssl aes-256-cbc -in tiedosto.txt -out salattu_tiedosto.enc | |||
Salatun tiedoston purkaminen: | |||
$ openssl aes-256-cbc -d -in salattu_tiedosto.enc -out tiedosto.txt | |||
Mikäli tiedosto halutaan salata tulostettavaan muotoon, voidaan käyttää valitsinta <tt>-a</tt>. | |||
Lisätietoa ECB ja CBC moodeista: | |||
* [[wikipedia:en:Block cipher mode of operation|Wikipedia - Block cipher mode of operation]] | |||
==Tietoturva== | |||
OpenSSL-kirjastosta on löytynyt historiansa aikana kaksi todella vakavaa tietoturva-aukkoa. | |||
===Haavoittuvuus Debianin OpenSSL-paketissa (CVE-2008-0166)=== | |||
Vuonna 2006 [[Debian]]in kehittäjä lisäsi OpenSSL-kirjastoon patchin, joka rikkoi satunnaislukugeeraattorin (versio <tt>0.9.8c-1</tt>). Bugi ehti olla Debianin OpenSSL-kirjastossa kaksi vuotta kunnes se huomattiin ja korjattiin. Tuona aikana generoidut avaimet, sekä salatut tiedostot ovat alttiita ''brute-force''-hyökkäyksille. Tämä haavoittuvuus vaikutti Debianin lisäksi myös kaikkiin siihen pohjautuviin jakeluihin, kuten [[Ubuntu]]un. | |||
* Debian 4.0 Etch, korjaava päivitys <tt>0.9.8c-4etch3</tt> | |||
* Debian 5.0 Lenny, korjaava päivitys <tt>0.9.8g-9</tt> | |||
https://www.debian.org/security/2008/dsa-1571 | |||
===Heartbleed (CVE-2014-0160)=== | |||
''Pääartikkeli: [[Heartbleed]]'' | |||
Heartbleediksi nimetty haavoittuvuus on 7.4.2014 paljastunut bugi OpenSSL-kirjaston heartbeat-protokollassa. Bugi mahdollistaa palvelimen muistin osittaisen kopioimisen jälkiä jättämättä. | |||
===Muut=== | |||
* [https://web.archive.org/web/20140713015703/https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuus-2014-075.html www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-075.html] {{InternetArchive}} | |||
==Jakelukohtaista== | |||
===Fedora, CentOS ja RHEL=== | |||
Patenttisyistä [[Fedora]]-pohjaisten jakeluiden OpenSSL-paketista on poistettu [[wikipedia:en:Elliptic curve cryptography|ECC]]-algoritmit. Pyynnöistä huolimatta myöskään [[RPM Fusion]] ei ole suostunut toimittamaan OpenSSL:n täydellistä versiota. Tämän seurauksena muun muassa osaa [[bitcoin]]-asiakasohjelmista ei voida sellaisenaan kääntää Fedoralle. Ongelman voi korjata itse kääntämällä OpenSSL:n alkuperäisistä lähdekoodeista. | |||
* https://bugzilla.redhat.com/show_bug.cgi?id=319901 | |||
==Katso myös== | ==Katso myös== | ||
*[[LibreSSL]] - [[OpenBSD]] -projektin luoma turvallisempi haarauma OpenSSL:stä | |||
*[[Apache-ssl]] | *[[Apache-ssl]] | ||
{{Salausohjelmia}} | |||
[[Luokka:Verkko]] | [[Luokka:Verkko]] | ||
[[Luokka:Tiedonsiirto]] | [[Luokka:Tiedonsiirto]] | ||
[[Luokka:Salausohjelmat]] |
Nykyinen versio 25. helmikuuta 2022 kello 18.00
OpenSSL | |
---|---|
Käyttöliittymä | kirjasto |
Lisenssi | Apache, BSD |
Kotisivu | openssl.org |
Lähdekoodi | https://github.com/openssl/openssl |
OpenSSL avoimen lähdekoodin on työkalu SSL v2/v3- ja TLS v1 -protokollien käsittelyyn. Sen avulla on myös mahdollista mm. luoda ja hallita julkisia ja yksityisiä salausavaimia, X.509-sertifikaatteja, laskea tarkistussummia ja käsitellä S/MIME-allekirjoitettuja tai -salattuja sähköposteja. HTTPS-salattu verkkosivusto voidaan toteuttaa OpenSSL:n ja esimerkiksi nginx avulla. OpenVPN on OpenSSL:n avulla toteutettu, avoin VPN-protokolla. OpenSSL:stä on myös saatavilla OpenBSD-projektin tekemä turvallisempi haarauma LibreSSL.
Tiedostojen salaus[muokkaa]
OpenSSL:n avulla voidaan myös salata tiedostoja. OpenSSL tukee useita algoritmeja, joista yleisin lienee AES.
$ openssl aes-256-cbc -in tiedosto.txt -out salattu_tiedosto.enc
Salatun tiedoston purkaminen:
$ openssl aes-256-cbc -d -in salattu_tiedosto.enc -out tiedosto.txt
Mikäli tiedosto halutaan salata tulostettavaan muotoon, voidaan käyttää valitsinta -a.
Lisätietoa ECB ja CBC moodeista:
Tietoturva[muokkaa]
OpenSSL-kirjastosta on löytynyt historiansa aikana kaksi todella vakavaa tietoturva-aukkoa.
Haavoittuvuus Debianin OpenSSL-paketissa (CVE-2008-0166)[muokkaa]
Vuonna 2006 Debianin kehittäjä lisäsi OpenSSL-kirjastoon patchin, joka rikkoi satunnaislukugeeraattorin (versio 0.9.8c-1). Bugi ehti olla Debianin OpenSSL-kirjastossa kaksi vuotta kunnes se huomattiin ja korjattiin. Tuona aikana generoidut avaimet, sekä salatut tiedostot ovat alttiita brute-force-hyökkäyksille. Tämä haavoittuvuus vaikutti Debianin lisäksi myös kaikkiin siihen pohjautuviin jakeluihin, kuten Ubuntuun.
- Debian 4.0 Etch, korjaava päivitys 0.9.8c-4etch3
- Debian 5.0 Lenny, korjaava päivitys 0.9.8g-9
https://www.debian.org/security/2008/dsa-1571
Heartbleed (CVE-2014-0160)[muokkaa]
Pääartikkeli: Heartbleed
Heartbleediksi nimetty haavoittuvuus on 7.4.2014 paljastunut bugi OpenSSL-kirjaston heartbeat-protokollassa. Bugi mahdollistaa palvelimen muistin osittaisen kopioimisen jälkiä jättämättä.
Muut[muokkaa]
- www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-075.html [Wayback Machine]
Jakelukohtaista[muokkaa]
Fedora, CentOS ja RHEL[muokkaa]
Patenttisyistä Fedora-pohjaisten jakeluiden OpenSSL-paketista on poistettu ECC-algoritmit. Pyynnöistä huolimatta myöskään RPM Fusion ei ole suostunut toimittamaan OpenSSL:n täydellistä versiota. Tämän seurauksena muun muassa osaa bitcoin-asiakasohjelmista ei voida sellaisenaan kääntää Fedoralle. Ongelman voi korjata itse kääntämällä OpenSSL:n alkuperäisistä lähdekoodeista.
Katso myös[muokkaa]
- LibreSSL - OpenBSD -projektin luoma turvallisempi haarauma OpenSSL:stä
- Apache-ssl
Salausohjelmia |
bcrypt | CipherShed | ccrypt | Enigmail | EncFS | GNU Privacy Guard | LibreSSL | MCrypt | OpenSSL | Seahorse | Tomb | VeraCrypt |