GnuTLS
| GnuTLS
| |
|---|---|
| colspan="2" class="notheme" style="text-align:center; background:#Vorlage:Standardfarbe; color:#202122;" | Logo | |
| Basisdaten
| |
| Maintainer | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Entwickler | Free Software Foundation |
| Erscheinungsjahr | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Aktuelle Version | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) (Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value)) |
| Aktuelle Vorabversion | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) (Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value)) |
| Betriebssystem | Unix-Derivate |
| Programmiersprache | C |
| Kategorie | Kryptographie |
| Lizenz | GPL<ref name="license" />/LGPLv2<ref name="license2" /> |
| deutschsprachig | ja |
| www.gnutls.org | |
GnuTLS (GNU Transport Layer Security Library) ist eine freie Implementierung von SSL-, TLS- und DTLS-Protokollen zum Aufbau von verschlüsselten Netzwerkverbindungen.
GnuTLS bietet einen ähnlichen Funktionsumfang wie OpenSSL, ist aber unter GPL bzw. LGPLv2<ref name="license"/><ref name="license2"/> lizenziert und kann damit im Gegensatz zu OpenSSL auch auf Systemen, bei denen OpenSSL nicht zum normalen Distributionsumfang gehört, ohne weiteres in GPL-lizenzierte Software wie Gnome, Exim, Lynx u. ä. eingebunden werden.
Zusätzlich zu den meisten in OpenSSL implementierten Funktionen unterstützt GnuTLS TLSv1.1, TLSv1.2, zlib-Kompression, Authentifizierung über Secure Remote Protocol (SRP), X.509- und OpenPGP-Schlüssel. Mit GnuTLS wird die Konsolenanwendung gnutls-cli, das Dienstprogramm gnutls-serv und zur Fehlerbeseitigung der TLS/SSL-Verbindungen das Anwendungsprogramm gnutls-cli-debug eingerichtet.
Kontroverse
Obwohl ursprünglich als GNU-Projekt begonnen, löste im Dezember 2012 der Hauptentwickler Nikos Mavrogiannopoulos GNU TLS vom GNU-Projekt los. Grund waren Kontroversen mit der Free Software Foundation über Policies.<ref>GnuTLS, copyright assignment, and GNU project governance auf lwn.net von Michael Kerrisk (20. Dezember 2012, englisch).</ref><ref> Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig gnutls is moving.] , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 11. Dezember 2012.Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> Ein Widerspruch von Richard Stallman, welcher Forking empfahl, blieb wirkungslos.<ref>GNUTLS is not going anywhere on lists.gnu.org "you cannot take GNUTLS out of the GNU Project." (11. Dezember 2012).</ref> Im selben Monat folgte der GNU-Sed-Maintainer Paolo Bonzini und legte seine Funktionen nieder.<ref><templatestyles src="Webarchiv/styles.css" />Subject: GNU sed 4.2.2 released, and a rant from the maintainer ( vom 29. Januar 2016 im Internet Archive) auf gmane.comp.lang.smalltalk.gnu.general von Paolo Bonzini (vom 22. Dezember 2012, englisch).</ref>
Massive Sicherheitslücke zwischen 2018 und 2020
Bei GnuTLS 3.6.4<ref>gnutls 3.6.4 Versionshinweise, lists.gnupg.org</ref>, welches am 24. September 2018 veröffentlicht wurde, hatte eine Regression die Implementierung des TLS-Protokolls beschädigt (CVE-2020-13777<ref>CVE-2020-13777, cve.mitre.org</ref>). Aufgrund dieses Fehlers erstellte der TLS-Server keinen sicheren Schlüssel für das Sitzungsticket und nutzte für Ver- und Entschlüsselung bis zur ersten Schlüsselrotation ausschließlich Nullen.<ref>CVE-2020-13777: TLS 1.3 session resumption works without master key, allowing MITM, gitlab.com</ref> In der Protokollversion TLS 1.3 können Angreifer die Authentifizierung umgehen und fremde Sitzungen übernehmen. Bei TLS 1.2 ist es sogar möglich, gespeicherte Aufzeichnungen früherer Sitzungen nachträglich zu entschlüsseln.<ref>Schlüssel genullt: GnuTLS sofort aktualisieren, forum.au-ja.de</ref> Behoben wurde der Fehler am 3. Juni 2020 in GnuTLS 3.6.14<ref>gnutls 3.6.14 Versionshinweise, lists.gnupg.org</ref>.
Siehe auch
Einzelnachweise
<references> <ref name="license">Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig The perils of LGPLv3.] gnutls.org, , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 18. November 2015: „LGPLv3 is the latest version of the GNU Lesser General Public License. It follows the successful LGPLv2.1 license, and was released by Free Software Foundation as a counterpart to its GNU General Public License version 3. The goal of the GNU Lesser General Public Licenses is to provide software that can be used by both proprietary and free software. This goal has been successfully handled so far by LGPLv2.1, and there is a multitude of libraries using that license. Now we have LGPLv3 as the latest, and the question is how successful is LGPLv3 on this goal? In my opinion, very little. If we assume that its primary goal is to be used by free software, then it blatantly fails that.“Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref name="license2">2013-03-14 Nikos Mavrogiannopoulos ... * COPYING.LESSER, README: gnutls 3.1.10 is LGPLv2.1</ref> </references>