Void Linux kehrt LibreSSL den Rücken und zu OpenSSL zurück

Einige Distributionen sind 2014 nach der Heartbleed getauften Sicherheitslücke, einem schwerwiegenden Fehler in der TLS-Implementation von OpenSSL, zu LibreSSL gewechselt, einer freien Implementierung des Verschlüsselungsprotokolls TLS. Void Linux wechselt nun am 5. März zurück zu OpenSSL, wie den News auf der Webseite des Projekts zu entnehmen ist.

250.000 Zeilen leichter

OpenSSL stellt die Basis für eine Reihe wichtiger kryptografischer Funktionen zur Verfügung, es bietet TLS- und SSL-Implementierungen und eine Reihe von Dienstprogrammen für Funktionen wie Schlüsselerzeugung und Signierung. LibreSSL entstand im Nachgang von Heartbeat im OpenBSD-Team um Theo de Raadt und sollte das komplexe OpenSSL entschlacken. LibreSSL war zwar als API-kompatibel zu OpenSSL ausgelegt, ist es aber derzeit nicht vollständig. Für den Fork wurden um fast 250.000 Zeilen Code entfernt.

Wenig Adaption unter Linux

Neben BSD-Projekten setzten auch einige Linux-Distributionen wie Alpine Linux, Hyperbola GNU/Linux und Void Linux LibreSSL als Ersatz für OpenSSL ein, Gentoo bot es als Alternative an. Alpine wechselte 2019 zurück zu OpenSSL, Gentoo hat im Februar die Unterstützung für LibreSSL aufgegeben. Somit ist Void Linux das dritte Projekt, dass sich wieder von den Fork abwendet.

Mehrarbeit nicht zu rechtfertigen

Als Grund für den Schritt zurück wird allgemein der hohe Pflegeaufwand genannt, der nicht ausreichend durch Vorteile gegenüber OpenSSL gerechtfertigt werden könne. Der Journalist und Sicherheitsexperte Hanno Böck, der auch als Gentoo-Entwickler tätig ist, drückt es so aus:

Ich glaube, dass so ziemlich alles, was LibreSSL ursprünglich war (konsistenter Kodierungsstil, Aufräumen von veraltetem/totem Code usw.), heutzutage in OpenSSL passiert ist. Es ist eher so, dass es einen Mythos um LibreSSL aus diesen frühen Tagen gibt (wo die Leute dahinter damals berechtigte Kritik an OpenSSL geäußert haben), als irgendeinen wirklichen Wert.

Python will LibreSSL nicht mehr unterstützen

Die Void-Entwickler kommen nun ebenfalls zu der Erkenntnis, das LibreSSL die Mehrarbeit durch die vielen notwendigen Patches nicht rechtfertigt und kehren zu OpenSSL zurück. Als Beispiele werden die Qt5- und die kommende Qt6-Implementierung bei Void ebenso angeführt wie Probleme bei Python, das in Betracht zieht, die LibreSSL-Unterstützung gänzlich einzustellen. Ein Vorschlag, künftig nur noch OpenSSL 1.1.1 LTS oder neuer zu unterstützen wurde im Oktober 2020 in PEP 644 formuliert.

Der Letzte macht das Licht aus

Ein Vorteil von LibreSSL ist laut den Void-Entwicklern die Bibliothek libtls, die OpenSSL nicht unterstützt. Hier will Void eine eigenständige Version erarbeiten. Mit dem Schritt von Void Linux zurück zu OpenSSL scheint die Unterstützung von LibreSSL unter Linux der Vergangenheit anzugehören, denn der vorletzte Vertreter Hyperbola wendet sich gänzlich von Linux ab und basiert bald völlig auf OpenBSD. Es verbleibt lediglich OpenELEC. Die Situation von LibreSSL in Linux wird detailliert von einem Artikel auf LWN zusammengefasst.

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
5 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments