OpenSSLにはこんなに問題が! LibreSSL開発者が発表 - BSDCan2014

後藤大地  [2014/05/18]

The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system.

OpenBSDプロジェクトの開発者でありLibreSSLの開発に携わっているBob Beck氏は5月17日(カナダ時間)、「BSDCan2014: LibreSSL」においてLibreSSLの開発がはじまってからのおおよそ30日間のできごとを伝えた。なぜOpenSSLからLibreSSLを派生させ別プロジェクトとして取り組むことにしたのか、具体的にどういった変更を実施したのかなどが説明された。プロジェクトを立ち上げるきっかけはHeartbleed脆弱性が決め手だったのではなく、そのあとに取り組んだ作業によって別プロジェクトにするという判断が決定的なものになったと説明があった。懸念された点は特に次のとおり。

  • OpenSSLでは処理速度を引き上げるために独自のmalloc実装に置き換わっているが、このmallocはセキュリティ上さまざまな問題を抱えておりこれを利用したままではセキュリティを確保することはできない
  • OpenSSLプロジェクトは外部からのパッチをなかなかマージせず、外部の関係者がバグと判断して報告したものが何年も放置されている
  • コードベースがひどいため、こうしたコードベースに新しい開発者が参加したいとは思わない
  • 多くのオペレーティングシステムをサポートするためにソースコードが複雑なマクロ構造(深い#ifdefが散在)を持っておりわかりにくい
  • ソースコードの記述スタイルが独自形式になっておりわかりにくい。よりモダンな書き方にはなっていない

OpenSSLは本来オペレーティングシステムがすべき処理をOpenSSL側で実施している部分があり、そういったものをOpenSSL側で実装すべきではないと指摘。オペレーティングシステムがすべき処理が対象のオペレーティングシステムには存在していない、またはバグを抱えているといった場合、それはOpenSSL側で対処するのではなくオペレーティングシステムで対応すべきだと指摘している。

またLibreSSLはOpenSSLのバグトラッキングシステムに登録されているバグを修正する取り組みを進めていることにも言及。これらバグはOpenSSL側では修正されておらず、LibreSSLのみでの修正となる。また公開すべきではないAPIまで公開されているといった潜在的に問題視される部分の改善も進めていると説明があった。

LibreSSLはAPI互換性を確保するなどしてOpenSSLの置き換えを目指すと説明。将来的にはOpenSSLをLibreSSLに入れ替えてソフトウェアをビルドするだけでLibreSSLへの移行が可能になるという。LibreSSLは移植性を考慮して開発が進められている。LibreSSLを搭載したOpenBSD 5.6が2014年11月にリリースされる予定になっているが、これと前後するタイミングでほかのオペレーティングシステムもOpenSSLからLibreSSLへの移行を進める可能性がある。

もともとBSDCan 2014 - MONTPETIT 207 10:00-11:00の枠はPC-BSDの開発者であるKris Moore氏の発表が予定されていたが、数日前にシカゴ空港で発生した問題で記録的なフライトキャンセルが発生。さらに前後して米国で発生した大規模な悪天候などの影響でフライトキャンセルが続き、Moore氏のカンファレンスへの参加が不可能になった。Bob Beck氏の発表は代替として急遽都合されたものだが、今もっとも話題になっているトピックであるだけに関係者の関心は高く、会場は立ち見が出る状況だった。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

【レポート】「PCがウイルスに感染しました」偽警告で電話させる手口が急増
[10:00 6/26] パソコン
【連載】iPhone基本の「き」 第203回 覚えてるはず、なのに……Apple ID「セキュリティ質問」の回答を忘れたら
[10:00 6/26] 携帯
濃厚な味わいなのに1粒あたり糖質0.4g! 低糖質生チョコレートが新登場
[10:00 6/26] ヘルスケア
[おそ松さん]オールフリーのキャンペーン告知動画第5弾は十四松 「素振り3000回だぁ!」
[09:00 6/26] ホビー
[真田丸]浅利陽介、再び小早川秀秋に「軍師官兵衛」に続き 「裏切るつもりは…」
[09:00 6/26] エンタメ

求人情報