Internetsicherheit per Open Source

Das Projekt SECRETS, welches aus dem IST-Programm finanziert wurde, öffnet dem privaten und dem öffentliche Sektor die Augen über die Vor- und Nachteile von Open-Source-Software für die Internetsicherheit. Im Rahmen des Projekts wurden zwei Protokolle in einer Serie von Versuchen zu den Bereichen E-Commerce, mobile Kommunikation, Netzüberwachung und intelligente Netze evaluiert.

Obwohl das aus dem IST-Programm finanzierte Projekt bereits im Dezember 2002 endete, treffen nach Aussage des technischen Koordinators Ross Velentzas bei Motorola die Ergebnisse der Evaluation auch heute noch zu.

SECRETS untersuchte die Open-Source-Tools für die Implementierung des Secure Sockets Layer (SSL), der von OpenSSL bereitgestellt wird, sowie das Free Secure Wide Area Network (FreeS/WAN), das IPSec über das Linux-Betriebssystem liefert. Die Ergebnisse der beiden Evaluationen waren gemischt und beleuchteten die Schwierigkeiten, vor denen Wirtschaft und Verwaltung stehen, wenn sie kostengünstigere und effizientere Wege zur Internetsicherheit suchen, indem sie Open Source Software anstatt kommerzieller Systeme wählen.

Die Vor- und Nachteile von Open Source Sicherheit 'Open Source hat Vor- und Nachteile', erklärte der Projektkoordinator Antonis Ramfos bei Intrasoft International. 'Dennoch haben die im Projekt SECRETS durchgeführten Evaluationen uns davon überzeugt, dass es hier Möglichkeiten für die Bereitstellung von Internetsicherheit gibt.'

Laut Ramfos ist eines der Schlüsselprobleme der Open Source Software im Allgemeinen, dass die Organisationen, die die Protokolle entwickeln, diese später nicht ausreichend unterstützen. Darüber hinaus gibt es Kompatibilitätsprobleme wegen fehlender Standardisierung.

Dies waren die größeren Probleme, die SECRETS bei FreeS/WAN entdeckte; das Projekt beschrieb sie als 'ungenügende Unterstützung durch die Organisaton', und sie hatten Kompatibilitätsprobleme mit anderer Open-Source-Software. Weiter wurde vermerkt, dass die von der Organisation zur Verfügung gestellte Dokumentation 'unvollständig und ungeordnet' war. IPSec stellte im März diesen Jahres die Entwicklung von FreeS/WAN ein; es wird jedoch erwartet, dass das Protokoll noch einige Zeit genutzt und weiterhin von seinen Nutzern angepasst wird, genau wie das Project SECRETS es für seine Versuche tat.

'Wir nahmen die beiden Protokolle und passten sie für vier verschiedene Szenarien an, die wir dann mit kommerzieller Software vergleichen konnten,' erklärte Velentzas.

Protokolle im Test
In den Versuchen wurde die Funktionalität der Protokolle in vier Bereichen getestet: sicheres E-Commerce in Form einer Anwendung für elektronische Angebote unter Verwendung von OpenSSL; sichere Mobilkommunikation über GPRS unter Verwendung von FreeS/WAN; Netzüberwachung mit OpenSSL und eine sichere, intelligente Netzinfrastruktur ebenfalls mit OpenSSL.

Obwohl die Versuche Probleme bei den Protokollen aufzeigten, deren Lösung, wie Velentzas sagte, 'einen großen Durchbruch erforderlich machen', kam das Projekt doch zu dem Schluss, dass ihre Implementation 'von kommerziellen Organisationen und Verwaltungen für eine Integration in die Software-Produkte, die sie entwickeln oder verwenden, in Erwägung gezogen werden sollte'.

'Im Hinblick auf die zugrunde liegenden Standards ist die angebotene Funktionalität auf einem für kommerzielle Anwendungen akzeptablen Niveau,' so die Aussage im Evaluationsbericht.

Insbesondere wurde OpenSSL als ein gut unterstütztes Protokoll erkannt, für das die Organisation auch eine umfassende Dokumentation erstellt hat, wodurch die Verwendung durch andere erheblich vereinfacht wird. 'Es ist klar, dass der kommerzielle Sektor und die Verwaltung in die Nutzung von OpenSSL investieren sollten, um die SSL-Funktionalität in die Produkte zu implementieren, die sie brauchen,' wird im Projektbericht erklärt.

Open Source in Aktion
Die Angebotsanwendung mit OpenSSL, die in den Versuchen verwendet wurde, wurde laut Ramfos in den Produktbestand des Koordinators Intrasoft übernommen, während Motorola weiterhin die Open Source Software in ihren Anwendungen unterstützt, ebenso wie Alcatel, ein anderer Partner von SECRETS. Ein weiterer Projektteilnehmer war Solinet.

Alle Partner werden weiterhin mit Open-Source-Protokollen für Internetsicherheit arbeiten; Ramfos und Velentzas sind sich einig, dass sie in Zukunft stärker vom privaten und öffentlichen Sektor genutzt werden.

'Open Source holt als Software-System für sichere Anwendungen auf,' erklärt Ramfos. 'Das ist am deutlichsten in der Verwaltung, denn ohne Open Source Software weiß man nicht, was das System enthält.' Er weist darauf hin, dass es für die Sicherheit entscheidend ist, den Quellcode von Programmen einzusehen, wie es bei Open Source möglich ist. Bei kommerzieller Software ist der Code gesperrt und wird geheim gehalten.

'Während des Kalten Kriegs hat z.B. die Sowjetunion eine Menge kommerzieller Software aus den USA gekauft. Der US-Geheimdienst hatte jedoch Spione in die Software eingebaut, so dass sie verfolgen konnten, was die Sowjets taten - und Moskau wusste davon nichts,' erzählte der Koordinator. 'Das gleiche Problem besteht heute für die Regierungen und Firmen auf der ganzen Welt; deshalb verbreitet sich die Nutzung von Open Source.'

Zusätzlich zu den wichtigen Sicherheitsfragen - wichtiger denn je bei der Nutzung des Internet - bietet Open Source auch finanzielle und betriebliche Vorteile. Erstens ist die Anschaffung und Anpassung kostenlos und zweitens bindet es die Nutzer nicht an einen einzigen Provider. 'Insbesondere die Verwaltungen wollen nicht an eine Firma gebunden sein,' betont Ramfos.

 Nach oben


Copyright 2012, SDC.