Wenn man der Meldung bei Newsforge glauben darf, ist OpenSSL jetzt nach FIPS 140 zertifiziert. Auf der offiziellen Liste ist das Programm noch nicht zu finden. Aber laut der obigen Meldung ist die Zertifizierung eine gemachte Sache und es wird noch so ca. eine Woche dauern, bis es soweit ist.
Ich selbst habe OpenSSL zuletzt beim Aufbau einer CA sehr zu schätzen gelernt. OpenSSL ist ein Programm für die Kommandozeile und bringt eine Vielfalt an Optionen mit. Der Aufruf erfolgt mittels openssl $KOMMANDO $OPTIONEN, wobei $KOMANDO festlegt, für welche Aufgabe man OpenSSL gerade verwenden möchte. Die einzelnen Kommandos sind in man openssl bzw. dann man $KOMMANDO gut dokumentiert. Für mich stellt OpenSSL ein schweizer Taschenmesser dar und selbst nach dem x-ten Durchlesen der Manpages finde ich noch wertvolle Informationen. 
Die FIPS sind ein Standard, der Sicherheitsanforderungen für kryptografische Module festlegt. Innerhalb des National Institute of Standards and Technology (NIST) gibt es das Cryptographic Module Validation Program
. Dieses ist dafür zuständig, in speziellen Labors die kryptografischen Module zu testen. Am Ende dieser Tests steht dann u.U. ein Zertifikat, dass eben jetzt auch OpenSSL erhalten hat.
via Links
Die Keysigningparty war dieses Jahr meine Domäne. Dies hatte ich u.a. auch hier angekündigt. Nach der Anmeldefrist stellte ich die Teilnehmerliste zusammen und verschickte eine Infomail an alle Teilnehmer. Damit begann der Ärger! Denn mutt war so freundlich, die Liste im Anhang ungefragt in UTF-8 umzuformatieren. Beim Versand fiel mir das nicht auf. Erst ein Eintrag im Wiki machte mich dann auf das Problem aufmerksam. Tja, was tun sprach Zeus? E-Mail bzw. vernünftige Internetverbindung war nicht vorhanden. Also konnte ich die Teilnehmer nicht nochmal per E-Mail informieren. Da es auch im Wiki hinreichend genau dokumentiert war (The list is encoded in ISO-8859-1 and the first two bytes of MD5 are C2 B0, the first two bytes of SHA1 05A3.
), hoffte ich, dass alle wirklich die ISO-Hashsumme bilden. Zur Sicherheit errechnete ich mir noch die Hashsumme der UTF-8-Datei.
Nach einigen einführenden Worten kam ich dann zum Verlesen der Hashsummen bei der KSP. Ich erklärte den Fehler und bot obige Lösung an. Diese wurde auch akzeptiert. Doch als ich die SHA1-Summe der UTF-8-Datei verlas, kam Protest. Einige Teilnehmer hatten hier eine andere Hashsumme errechnet. Das obwohl die MD5-Summe stimmte! Damit war dann das Chaos vollständig. Denn nunmehr konnte wir nicht mehr davon ausgehen, alle dieselbe Version der Datei zu besitzen. Nach einigen Diskussionen entschieden wir uns, die “Originalliste” Schritt für Schritt durchzugehen und jeder musste dann die Einträge vergleichen bzw. bestätigen, dass diese korrekt sind. Dadurch wurde die Veranstaltung letztlich doppelt so lange wie geplant. Der Rest lief dann wieder normal durch.
Momentan ist mir noch nicht klar, wieso hier zwei unterschiedliche Hashsummen gebildet werden konnten. Eine Idee ist, dass wahrscheinlich OpenSSL das je nach gesetzter Locale anders berechnet. Ich werde hier noch testen müssen.
Tja, ich fand es wirklich schade, dass die Veranstaltung durch so eine Kleinigkeit so aus dem Ruder gelaufen ist und möchte mich auch nochmal bei allen Teilnehmern für das Chaos entschuldigen.
Mittlerweile ist aber auch das Signieren angelaufen. Meine Challengemails wurden zum grossen Teil beantwortet und auch ich erhalte viele Signaturen. Stefan Schmidt war so freundlich, wieder ein grafisches Web-of-Trust zu zeichnen. Bisher sieht der Graf so aus: 
Ich bin gespannt, wie er sich entwickeln wird. Stefan wird gegen Ende Januar noch eine Auswertung machen.