Ero sivun ”OpenSSL” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
(linkki)
(11 välissä olevaa versiota 6 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
OpenSSL avoimen lähdekoodin on työkalu [[SSL]] v2/v3- ja [[TLS]] v1 -protokollien käsittelyyn.  
{{Ohjelma
| nimi=OpenSSL
| kuva=
| kuvateksti=
| lisenssi=[[Apache-lisenssi|Apache]], [[BSD-lisenssi|BSD]]
| käyttöliittymä=kirjasto
| kotisivu=[https://www.openssl.org/ www.openssl.org]
}}


Sen avulla on myös mahdollista mm. luoda ja hallita julkisia ja yksityisiä salausavaimia, X.509-sertifikaatteja, laskea tarkistussummia ja käsitellä S/MIME-allekirjoitettuja tai -salattuja sähköposteja.
'''OpenSSL''' avoimen lähdekoodin on työkalu [[SSL]] v2/v3- ja [[TLS]] v1 -protokollien käsittelyyn. Sen avulla on myös mahdollista mm. luoda ja hallita julkisia ja yksityisiä salausavaimia, X.509-sertifikaatteja, laskea tarkistussummia ja käsitellä S/MIME-allekirjoitettuja tai -salattuja sähköposteja. [[HTTPS]]-salattu verkkosivusto voidaan toteuttaa OpenSSL:n ja esimerkiksi [[Apache]]n avulla. [[OpenVPN]] on OpenSSL:n avulla toteutettu, avoin [[VPN]]-protokolla.


[[HTTPS]]-salattu verkkosivusto voidaan toteuttaa OpenSSL:n ja esimerkiksi [[Apache]]n avulla.
==Tiedostojen salaus==
OpenSSL:n avulla voidaan myös salata tiedostoja. OpenSSL tukee useita algoritmeja, joista yleisin lienee [[wikipedia:en:Advanced Encryption Standard|AES]].
$ openssl aes-256-cbc -in tiedosto.txt -out salattu_tiedosto.enc
Salatun tiedoston purkaminen:
$ openssl aes-256-cbc -d -in salattu_tiedosto.enc -out tiedosto.txt
Mikäli tiedosto halutaan salata tulostettavaan muotoon, voidaan käyttää valitsinta <tt>-a</tt>.


==Linkkejä==
Lisätietoa ECB ja CBC moodeista:
*[http://www.openssl.org/ OpenSSL:n kotisivu]
* [[wikipedia:en:Block cipher mode of operation|Wikipedia - Block cipher mode of operation]]
 
==Tietoturva==
OpenSSL-kirjastosta on löytynyt historiansa aikana kaksi todella vakavaa tietoturva-aukkoa.
 
===Haavoittuvuus Debianin OpenSSL-paketissa (CVE-2008-0166)===
Vuonna 2006 [[Debian]]in kehittäjä lisäsi OpenSSL-kirjastoon patchin, joka rikkoi satunnaislukugeeraattorin (versio <tt>0.9.8c-1</tt>). Bugi ehti olla Debianin OpenSSL-kirjastossa kaksi vuotta kunnes se huomattiin ja korjattiin. Tuona aikana generoidut avaimet, sekä salatut tiedostot ovat alttiita ''brute-force''-hyökkäyksille. Tämä haavoittuvuus vaikutti Debianin lisäksi myös kaikkiin siihen pohjautuviin jakeluihin, kuten [[Ubuntu]]un.
* Debian 4.0 Etch, korjaava päivitys <tt>0.9.8c-4etch3</tt>
* Debian 5.0 Lenny, korjaava päivitys <tt>0.9.8g-9</tt>
https://www.debian.org/security/2008/dsa-1571
 
===Heartbleed (CVE-2014-0160)===
''Pääartikkeli: [[Heartbleed]]''
 
Heartbleediksi nimetty haavoittuvuus on 7.4.2014 paljastunut bugi OpenSSL-kirjaston heartbeat-protokollassa. Bugi mahdollistaa palvelimen muistin osittaisen kopioimisen jälkiä jättämättä.
 
===Muut===
* [https://www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-075.html www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-075.html]
 
==Jakelukohtaista==
===Fedora, CentOS ja RHEL===
Patenttisyistä [[Fedora]]-pohjaisten jakeluiden OpenSSL-paketista on poistettu [[wikipedia:en:Elliptic curve cryptography|ECC]]-algoritmit. Pyynnöistä huolimatta myöskään [[RPM Fusion]] ei ole suostunut toimittamaan OpenSSL:n täydellistä versiota. Tämän seurauksena muun muassa osaa [[bitcoin]]-asiakasohjelmista ei voida sellaisenaan kääntää Fedoralle. Ongelman voi korjata itse kääntämällä OpenSSL:n alkuperäisistä lähdekoodeista.
* https://bugzilla.redhat.com/show_bug.cgi?id=319901
 
==Katso myös==
*[[Apache-ssl]]
 
{{Salausohjelmia}}
[[Luokka:Verkko]]
[[Luokka:Verkko]]
[[Luokka:Tiedonsiirto]]
[[Luokka:Salausohjelmat]]

Versio 23. huhtikuuta 2015 kello 01.32

OpenSSL
Käyttöliittymä kirjasto
Lisenssi Apache, BSD
Kotisivu www.openssl.org

OpenSSL avoimen lähdekoodin on työkalu SSL v2/v3- ja TLS v1 -protokollien käsittelyyn. Sen avulla on myös mahdollista mm. luoda ja hallita julkisia ja yksityisiä salausavaimia, X.509-sertifikaatteja, laskea tarkistussummia ja käsitellä S/MIME-allekirjoitettuja tai -salattuja sähköposteja. HTTPS-salattu verkkosivusto voidaan toteuttaa OpenSSL:n ja esimerkiksi Apachen avulla. OpenVPN on OpenSSL:n avulla toteutettu, avoin VPN-protokolla.

Tiedostojen salaus

OpenSSL:n avulla voidaan myös salata tiedostoja. OpenSSL tukee useita algoritmeja, joista yleisin lienee AES.

$ openssl aes-256-cbc -in tiedosto.txt -out salattu_tiedosto.enc

Salatun tiedoston purkaminen:

$ openssl aes-256-cbc -d -in salattu_tiedosto.enc -out tiedosto.txt

Mikäli tiedosto halutaan salata tulostettavaan muotoon, voidaan käyttää valitsinta -a.

Lisätietoa ECB ja CBC moodeista:

Tietoturva

OpenSSL-kirjastosta on löytynyt historiansa aikana kaksi todella vakavaa tietoturva-aukkoa.

Haavoittuvuus Debianin OpenSSL-paketissa (CVE-2008-0166)

Vuonna 2006 Debianin kehittäjä lisäsi OpenSSL-kirjastoon patchin, joka rikkoi satunnaislukugeeraattorin (versio 0.9.8c-1). Bugi ehti olla Debianin OpenSSL-kirjastossa kaksi vuotta kunnes se huomattiin ja korjattiin. Tuona aikana generoidut avaimet, sekä salatut tiedostot ovat alttiita brute-force-hyökkäyksille. Tämä haavoittuvuus vaikutti Debianin lisäksi myös kaikkiin siihen pohjautuviin jakeluihin, kuten Ubuntuun.

  • Debian 4.0 Etch, korjaava päivitys 0.9.8c-4etch3
  • Debian 5.0 Lenny, korjaava päivitys 0.9.8g-9

https://www.debian.org/security/2008/dsa-1571

Heartbleed (CVE-2014-0160)

Pääartikkeli: Heartbleed

Heartbleediksi nimetty haavoittuvuus on 7.4.2014 paljastunut bugi OpenSSL-kirjaston heartbeat-protokollassa. Bugi mahdollistaa palvelimen muistin osittaisen kopioimisen jälkiä jättämättä.

Muut

Jakelukohtaista

Fedora, CentOS ja RHEL

Patenttisyistä Fedora-pohjaisten jakeluiden OpenSSL-paketista on poistettu ECC-algoritmit. Pyynnöistä huolimatta myöskään RPM Fusion ei ole suostunut toimittamaan OpenSSL:n täydellistä versiota. Tämän seurauksena muun muassa osaa bitcoin-asiakasohjelmista ei voida sellaisenaan kääntää Fedoralle. Ongelman voi korjata itse kääntämällä OpenSSL:n alkuperäisistä lähdekoodeista.

Katso myös

v  k  m
Salausohjelmia
bcrypt | CipherShed | ccrypt | Enigmail | EncFS | GNU Privacy Guard | LibreSSL | MCrypt | OpenSSL | Seahorse | Tomb | VeraCrypt