基本情報
概要
LibreSSL(リブレ エスエスエル)とは、SSL/TLSプロトコルのオープンソース実装(通信用ソフトウェア)で、「OpenSSL」の派生改良版です。圧倒的シェアを持つが問題が多い「OpenSSL」を代替できるものとして期待されています。
基本説明
LibreSSLは、OpenBSD Projectにより「OpenSSL」からフォークされたソフトウェアです。
OpenSSLを全面的にリファクタリングすることにより、安定/セキュアなソフトウェアにすることを目的としています。
「セキュアで安定したコードベース」「潜在バグ修正」「現代的プログラミングプラクティス導入」「ポータビリティ再設計」などを目指しています。
主な特徴
「OpenSSL」の問題点
OpenSSLは、httpsでのセキュア暗号化通信のほぼすべてで使用されており、圧倒的シェアを持つSSL/TLS通信用ソフトウェアです。事実上のデファクトスタンダードになっています。
→OpenSSLとは
OpenSSLプロジェクトには、運営面/品質面などにおいて多くの問題があるとされています。
・サポート体制が弱い(メンテナンスが十分になされていない)
→世界中を震撼させた「Heartbleed」脆弱性
・処理速度向上用独自実装「malloc」が非セキュア
・外部からのパッチをなかなかマージしない
→外部関係者がバグ報告したものが何年も放置されている
・ソースコード品質が低い
→複雑なマクロ構造で分かりにくい
「LibreSSL」へフォーク
セキュリティを重要視するOpenBSDプロジェクトは、多くの問題があるOpenSSLを使い続けることはできないと判断し、2014年に「OpenSSL 1.0.1」からフォークして「LibreSSL」プロジェクトをスタートさせました。
フォーク後の最初の1週間で90000行以上の使われていない不要なコードを削減しました。その後も改善を続けており、LibreSSLはOpenSSLに較べて、非常に健全なソースコードになっており、セキュリティを格段に高めています。
継続的メンテナンスを続けているLibreSSLは「OpenSSLを代替するもの」として大きく期待されています。
「OpenSSL」との互換性/相違点
LibreSSLは、OpenSSLとの互換性(プログラミングAPIレベル)を持たせることを基本方針としています。差し替えてリビルドするだけで置き換えられる狙いがあります。徹底したリファクタリングのすべてにおいて、OpenBSDポートツリーを対象としたAPI互換性テストが行われています。
しかし、フォーク後の数々のメンテナンスにより、両者には機能的な差異が生まれています。
主な相違点
・OpenSSLとのバイナリ互換性の欠如
・「Heartbeat拡張」の削除
・疑似乱数生成アルゴリズム「Dual_EC_DRBG」の削除
・各種機能削除(FIPS140-2サポート、SRP、SSLv3、動的エンジンサポート、MDC-2DES、SHA-0など)
・脆弱プロトコルの無効化
・機能追加(新しい暗号スイートなど)
・メモリ呼び出しは、OpenSSL独自方式から標準ライブラリに変更
・安全用コンパイルオプション/フラグのデフォルト有効化
他プラットフォーム版
LibreSSLはOpenBSD用としてフォークされましたが、他プラットフォーム用に移植されたポータブル版もリリースされています。
サポートプラットフォームは、
・BSD系
・Linux系
・商用Unix系
・Mac OS X
・Windows系
など多岐に渡っています。
同様製品
同様な機能を提供する製品として、次のようなものがあります。
オープンソース製品:「OpenSSL」など。
導入事例
「OpenBSD 5.6」からLibreSSLが標準になっています。
その他の各種OSでも「OpenSSL」 から「LibreSSL」へ乗り換える動きが進んでいます。
ライセンス情報
LibreSSLのライセンスは「Apache License 1.0」「4条項BSDライセンス」「ISCライセンス」「パブリックドメイン」です。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。
ダウンロード
※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。
