OpenSSL
SSLプロトコル・TLSプロトコルの、オープンソースで開発・提供されるソフトウェア ウィキペディアから
OpenSSL(オープン・エスエスエル)は、TLSプロトコル・SSLプロトコルの、オープンソースで開発・提供されるソフトウェアである。中心となっているライブラリ(C言語で書かれている)は基本的な暗号化関数と様々なユーティリティ関数を実装している。様々なコンピュータ言語でOpenSSLライブラリを利用できるようにするラッパーもある。OpenSSLはEric A. YoungとTim HudsonによるSSLeay(1998年12月に開発者がRSA Securityに異動したため開発は終了されている)を基にしている。
 | |
 | |
| 開発元 | The OpenSSL Project |
|---|---|
| 最新版 | 3.4.1 - 2025年2月11日[1] [±] |
| 最新評価版 | なし [±] |
| リポジトリ | |
| プログラミング 言語 | C言語、アセンブリ言語 |
| 対応OS | マルチプラットフォーム |
| 種別 | セキュリティライブラリ |
| ライセンス |
|
| 公式サイト |
www |
OpenSSLが利用可能なプラットフォームは、ほぼ全てのUnix系(SolarisやLinux、macOS、BSDを含む)、OpenVMS、そしてWindowsである。IBMによってSystem i (iSeries/AS400) に移植されたバージョンもある。
バージョン履歴
要約
視点
| バージョン | リリース日[5] | サポート期限[6] | 概要 | 最新版 |
|---|---|---|---|---|
| 0.9.1 | 1998年12月23日 | N/A |
|
0.9.1c (1998年12月23日) |
| 0.9.2 | 1999年3月22日 | N/A |
|
0.9.2b (1999年4月6日) |
| 0.9.3 | 1999年5月25日 | N/A |
|
0.9.3a (1999年5月27日) |
| 0.9.4 | 1999年8月9日 | N/A |
|
0.9.4 (1999年8月9日) |
| 0.9.5 | 2000年2月28日 | N/A |
|
0.9.5a (2000年4月1日) |
| 0.9.6 | 2000年9月24日 | N/A |
|
0.9.6m (2004年3月17日) |
| 0.9.7 | 2002年12月31日 | N/A |
|
0.9.7m (2007年2月23日) |
| 0.9.8 | 2005年7月5日 | 2015年12月31日[7] |
|
0.9.8zh (2015年12月3日) |
| 1.0.0 | 2010年3月29日 | 2015年12月31日[7] |
|
1.0.0t (2015年12月3日) |
| 1.0.1[8] | 2012年3月14日 | 2016年12月31日 | 1.0.1u (2016年9月22日) | |
| 1.0.2[9] | 2015年1月22日 | 2019年12月31日 |
|
1.0.2u (2019年12月20日) |
| 1.1.0[10] | 2016年8月25日 | 2019年9月11日 |
|
1.1.0l (2019年9月10日) |
| 1.1.1[11] | 2018年9月11日 | 2023年9月11日 | 1.1.1w (2023年9月11日) | |
| 3.0 | 2021年9月7日 | 2026年9月7日 |
|
3.0.16 (2025年2月11日) |
| 3.1[14] | 2023年3月14日 | 2025年3月14日 | 3.1.8 (2025年2月11日) | |
| 3.2[15] | 2023年11月23日 | 2025年11月23日 | 3.2.4 (2025年2月11日) | |
| 3.3[16] | 2024年4月9日 | 2026年4月9日 | 3.3.3 (2025年2月11日) | |
| 3.4[17] | 2024年10月22日 | 2026年10月22日 | 3.4.1(2025年2月11日) | |
凡例 サポート終了 サポート中 現行バージョン 最新プレビュー版 将来のリリース | ||||
使用ライブラリ( libssl, libcrypto )を ver. 1.0 から 1.1 に変更する場合には、使用元のプログラムを少なからず変更する必要がある。本変更に関するノウハウや解説が[18]においてまとめられている。
暗号化アルゴリズム
OpenSSLは以下の暗号化アルゴリズムをサポートする。
- プロトコル
- SSL 3.0、TLS (1.0、1.1、1.2、1.3)、DTLS (1.0、1.2)
- 共通鍵暗号方式
- AES、Blowfish、Camellia、ChaCha20、Poly1305、SEED、CAST-128、DES、IDEA、RC2、RC4、RC5、トリプルDES、GOST 28147-89[19]、SM4
- ハッシュ関数方式
- MD5、MD4、MD2、SHA-1、SHA-2、SHA-3、RIPEMD-160、MDC-2、GOST R 34.11-94[19]、BLAKE2、Whirlpool[20]、SM3
- 公開鍵暗号方式
- RSA、DSA、ディフィー・ヘルマン鍵共有、楕円曲線暗号、X25519、Ed25519、X448、Ed448、GOST R 34.10-2001[19]、SM2
FIPS 140-2の承認
OpenSSLは、NIST(アメリカ国立標準技術研究所)のCryptographic Module Validation Programによるコンピュータセキュリティ標準であるFIPS 140-2において承認された[21]初めてのオープンソースプログラムである。ただしOpenSSL自体が検証されたのではなく、OpenSSL FIPS Object Moduleという標準対応用のソースコードを組み込んだものが検証されている。このモジュールはOpenSSL 1.0.1/1.0.2で使用可能。[22]
最初の承認は2006年1月に行われた。同年7月には「承認されたモジュールによる外部のプログラムとの相互作用に関し疑問が提示された」[23]ため、いったんは撤回されたものの、翌2007年に再び承認が行われた[24][25]。
ライセンス
OpenSSL v3.0.0未満はOpenSSL LicenseとSSLeay Licenseの両方のライセンス下で公開されている[26]。OpenSSL v3.0.0以降ではApache License Version 2.0のみとなる[2][3][4]。OpenSSL LicenseはApache License, Version 1.0であり、SSLeay Licenseは宣伝条項付きの四条項BSDライセンスである。一般にデュアルライセンスではユーザーは2つのライセンスのうち片方を選択できるが、OpenSSLの説明書きによると、両方のライセンスが適用されることを意味している。
OpenSSL v3.0.0未満のOpenSSL Licenseは、Apache License Version 2.0ではなくApache License Version 1.0である(前述の通りOpenSSL v3.0.0以降ではApache License Version 2.0のみ[2][3][4])ため、「この製品はOpenSSLツールキットを利用するためにOpenSSLプロジェクトによって開発されたソフトウェアを含む。(This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit[27])」という一文を再頒布の際に含めなければならないという規定が含まれ、GNU General Public License (GPL) と非互換である[28]。ただしThe OpenSSL Projectの見解では、多くのLinuxやBSDディストリビューションにおいて、OpenSSLはオペレーティングシステムの一部をなしているためGPLの制限は適用されないとしている[29]。中には、"OpenSSL exception"を追加してシステムで動かせるようにしているプロジェクトもある。GNU Wgetとclimmプロジェクトがそのような例である[30][31]。
バグによる脆弱性
要約
視点
Debianの弱い鍵
ValgrindをOpenSSLに対しても適用可能とするために、Debianディストリビューションに含まれるOpenSSLにパッチを適用したが、この際に誤って擬似乱数生成器が正しく動作しなくなり、生成される暗号鍵が予測可能なものとなってしまった[32]。
このバグは2006年9月17日にリリースされたDebian (OpenSSL 0.9.8c-1) から含まれており、バグが判明してDebianから発表されたのは2008年5月13日であった[33]。Debian系以外のシステムを含め、問題となったDebian上で生成した鍵を使用している場合は、脆弱性のないOpenSSLで鍵を再生成する必要がある[32]。
このバグは、Debian 4.0 (etch) ではOpenSSLの0.9.8c-4etch3以降で、Debian 5.0 (lenny) では0.9.8g-9で修正されている[33]。
Heartbleed
→詳細は「ハートブリード」を参照
2014年4月7日に、OpenSSLの1.0.2-betaや1.0.1系列で、TLSのheartbeat拡張[34]について、メモリの扱いにバグがあると発表された[35] 。このバグを利用することで、ハートビート1回ごとに64キロバイトのメモリを読み取ることが可能となる[35]。この問題のCVE番号はCVE-2014-0160である[36]。
この脆弱性は2011年12月31日から存在し、OpenSSL 1.0.1がリリースされた2012年3月14日以降、脆弱性のあるOpenSSLが広く使われている[37][38]。サーバ側のメモリを読むことで、機密情報にアクセスが可能となり、場合によっては秘密鍵を盗まれて[37]暗号化が無力となり、中間者攻撃を仕掛けることが可能となる。
ユーザーに関する非公開の情報、たとえばセッションクッキーやパスワードも漏れうるため、他者になりすますことも可能となってしまう[39]。脆弱性が判明した段階で、認証局から証明を受けたHTTPSサーバのうち、ざっと17%から半分程度が影響するものと見られている[40]。
基本的な対策はハートビートを使用しない(-DOPENSSL_NO_HEARTBEATS オプションを付けて再コンパイルする)か、脆弱性を修正したバージョン(1.0.1g以降)への更新となる[35]。
CCS Injection Vulnerability
2014年6月6日に、過去10年以上に渡るすべてのOpenSSLのバージョンについて、ChangeCipherSpecメッセージの処理の不正な順序による挿入によって攻撃者の意図する弱い暗号へ強制変更させた通信として開始されるという攻撃方法が発見され、CCS Injection脆弱性 (CCS Injection Vulnerability, CVE-2014-0224) として公開された[41]。
この脆弱性は過去のOpenSSLのほとんどのバージョンに存在し、通信開始手順の途中で不正な信号を送ると、該当する通信で使われる一時的な暗号鍵が、第三者でも予想できてしまうというものである。
また、脆弱性発見の経緯が、発見者により公開されている[42]。
DROWN攻撃
Decrypting RSA with Obsolete and Weakened eNcryptionと名付けられた攻撃手法の略称[43]。
脆弱性の概要は、SSLv2を使用可能にしていると攻撃者は、同じ秘密鍵を共有するSSLv2が有効なサーバにプローブを送信することで、新しいプロトコルであるTLSを使ったクライアントとサーバ間の接続を復号することができる[44]。 想定される影響は、遠隔の攻撃者に、SSLv2 をサポートしているサーバの暗号通信を解読されるおそれがある。SSLv2 をサポートしており、TLS 通信で SSLv2 と同一の証明書を使用している場合、TLS の暗号通信であっても、同様の影響を受けるおそれがある[45]。 この攻撃に対処したパッチは、1.0.1sまたは1.0.2.g[46]である。 SSLv2自体は、2011年から非推奨[47]となっている。
フォーク
LibreSSL
→詳細は「LibreSSL」を参照
OpenBSDプロジェクトでは、前述のハートブリード問題をうけて、OpenSSL 1.0.1gをベースとしてフォークしたLibreSSLを2014年4月に立ち上げた[48]。これは、OpenBSDで利用されているOpenSSLライブラリを置き換えることを目的としており、OpenSSLのコードの見直しを行いよりセキュアな実装とすることを目指している。
既に、OpenBSDにおいて不要なコードや、古いシステムのサポートのためのコードの削除を行い、90000行以上のソースコードの削減を行っている[49]。
BoringSSL
Googleも、OpenSSLをフォークしたBoringSSLの立ち上げを2014年6月に発表した[52][53]。Googleでは、OpenSSL、LibreSSL双方の開発者と協力していくとしている。
脚注
関連項目
外部リンク
Wikiwand - on
Seamless Wikipedia browsing. On steroids.