| Nykyinen versio |
Oma tekstisi |
| Rivi 1: |
Rivi 1: |
| {{Ohjelma
| | OpenSSL avoimen lähdekoodin projekti, jonka tuloksena on työkalu [[SSL]] v2/v3 ja [[TLS]] v1 protokollien tukemiseen. |
| | nimi=OpenSSL
| |
| | kuva=[[Tiedosto:OpenSSL logo.svg]]
| |
| | kuvateksti=
| |
| | lisenssi=[[Apache-lisenssi|Apache]], [[BSD-lisenssi|BSD]]
| |
| | käyttöliittymä=kirjasto
| |
| | kotisivu=[https://www.openssl.org/ openssl.org]
| |
| | lähdekoodi=[https://github.com/openssl/openssl https://github.com/openssl/openssl]
| |
| }}
| |
|
| |
|
| '''OpenSSL''' avoimen lähdekoodin on työkalu [[SSL]] v2/v3- ja [[TLS]] v1 -protokollien käsittelyyn. Sen avulla on myös mahdollista mm. luoda ja hallita julkisia ja yksityisiä salausavaimia, X.509-sertifikaatteja, laskea tarkistussummia ja käsitellä S/MIME-allekirjoitettuja tai -salattuja sähköposteja. [[HTTPS]]-salattu verkkosivusto voidaan toteuttaa OpenSSL:n ja esimerkiksi [[nginx]] avulla. [[OpenVPN]] on OpenSSL:n avulla toteutettu, avoin [[VPN]]-protokolla. OpenSSL:stä on myös saatavilla [[OpenBSD]]-projektin tekemä turvallisempi haarauma [[LibreSSL]].
| | Työkalun avulla on lisäksi mahdollista mm. luoda ja hallita julkisia ja yksityisiä salausavaimia, X.509 sertifikaatteja, laskea tarkistussummia ja käsitellä S/MIME allekirjoitettuja tai salattuja sähköposteja. |
|
| |
|
| ==Tiedostojen salaus==
| | [[HTTPS]]-salatun verkkosivuston luominen voidaan toteuttaa [[Apache]] ja OpenSSL yhdistelmällä. |
| OpenSSL:n avulla voidaan myös salata tiedostoja. OpenSSL tukee useita algoritmeja, joista yleisin lienee [[wikipedia:en:Advanced Encryption Standard|AES]].
| |
| $ openssl aes-256-cbc -in tiedosto.txt -out salattu_tiedosto.enc
| |
| Salatun tiedoston purkaminen:
| |
| $ openssl aes-256-cbc -d -in salattu_tiedosto.enc -out tiedosto.txt
| |
| Mikäli tiedosto halutaan salata tulostettavaan muotoon, voidaan käyttää valitsinta <tt>-a</tt>.
| |
|
| |
|
| Lisätietoa ECB ja CBC moodeista:
| |
| * [[wikipedia:en:Block cipher mode of operation|Wikipedia - Block cipher mode of operation]]
| |
|
| |
| ==Tietoturva==
| |
| OpenSSL-kirjastosta on löytynyt historiansa aikana kaksi todella vakavaa tietoturva-aukkoa.
| |
|
| |
| ===Haavoittuvuus Debianin OpenSSL-paketissa (CVE-2008-0166)===
| |
| Vuonna 2006 [[Debian]]in kehittäjä lisäsi OpenSSL-kirjastoon patchin, joka rikkoi satunnaislukugeeraattorin (versio <tt>0.9.8c-1</tt>). Bugi ehti olla Debianin OpenSSL-kirjastossa kaksi vuotta kunnes se huomattiin ja korjattiin. Tuona aikana generoidut avaimet, sekä salatut tiedostot ovat alttiita ''brute-force''-hyökkäyksille. Tämä haavoittuvuus vaikutti Debianin lisäksi myös kaikkiin siihen pohjautuviin jakeluihin, kuten [[Ubuntu]]un.
| |
| * Debian 4.0 Etch, korjaava päivitys <tt>0.9.8c-4etch3</tt>
| |
| * Debian 5.0 Lenny, korjaava päivitys <tt>0.9.8g-9</tt>
| |
| https://www.debian.org/security/2008/dsa-1571
| |
|
| |
| ===Heartbleed (CVE-2014-0160)===
| |
| ''Pääartikkeli: [[Heartbleed]]''
| |
|
| |
| Heartbleediksi nimetty haavoittuvuus on 7.4.2014 paljastunut bugi OpenSSL-kirjaston heartbeat-protokollassa. Bugi mahdollistaa palvelimen muistin osittaisen kopioimisen jälkiä jättämättä.
| |
|
| |
| ===Muut===
| |
| * [https://web.archive.org/web/20140713015703/https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuus-2014-075.html www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-075.html] {{InternetArchive}}
| |
|
| |
| ==Jakelukohtaista==
| |
| ===Fedora, CentOS ja RHEL===
| |
| Patenttisyistä [[Fedora]]-pohjaisten jakeluiden OpenSSL-paketista on poistettu [[wikipedia:en:Elliptic curve cryptography|ECC]]-algoritmit. Pyynnöistä huolimatta myöskään [[RPM Fusion]] ei ole suostunut toimittamaan OpenSSL:n täydellistä versiota. Tämän seurauksena muun muassa osaa [[bitcoin]]-asiakasohjelmista ei voida sellaisenaan kääntää Fedoralle. Ongelman voi korjata itse kääntämällä OpenSSL:n alkuperäisistä lähdekoodeista.
| |
| * https://bugzilla.redhat.com/show_bug.cgi?id=319901
| |
|
| |
| ==Katso myös==
| |
| *[[LibreSSL]] - [[OpenBSD]] -projektin luoma turvallisempi haarauma OpenSSL:stä
| |
| *[[Apache-ssl]]
| |
|
| |
| {{Salausohjelmia}}
| |
| [[Luokka:Verkko]] | | [[Luokka:Verkko]] |
| [[Luokka:Tiedonsiirto]]
| |
| [[Luokka:Salausohjelmat]]
| |