Não obstante o que parecia ser um esforço organizado para evitar isso, OpenSSL foi revalidado por uma agência de avaliação independente sobre sua habilidade de gerenciar de forma segura dados sensíveis, e está pronto para uso por agências governamentais americanas como o Departamento de Defesa.
OpenSSL é uma implementação livre dos protocolos SSL e TLS para comunicação segura por rede/Internet, provendo uma biblioteca de funções utilitárias para tal, escrito em C e atualmente suportado para uso em uma grande variedade de linguagens de programação. Uma infinidade de softwares livres e comerciais já utilizam ou se baseiam no OpenSSL.
De acordo com o Instituto de Software de Código Aberto (OSSI – Open Source Software Institute), que tem acompanhado o processo de validação nos últimos cinco anos (algo que tipicamente demora apenas alguns meses), parece que a idéia de um software SSL livre não batia bem com fornecedores proprietários de produtos similares. Uma campanha FUD (espalhar Medo, Incerteza e Dúvida) foi deflagrada contra o OpenSSL chegando a resultar na suspensão temporária da sua validação. Desenvolvedores e voluntários se recusaram a desistir até que a validação foi reinstaurada, e Linux.com tem a história da longa estada de sucesso deste projeto de software livre.
Com a conclusão da validação, o OpenSSL passa a ter conformidade com os altos padrões do Governo dos EUA para segurança de computadores, o Federal Information Processing Standard 140 (FIPS 140-2). Muito além do credenciamento para uso nas agências governamentais americanas, é um merecido reconhecimento à qualidade e seriedade deste que é um dos mais amadurecidos e difundidos projetos de software livre na área de segurança digital.
Fonte: OpenSSL Revalidated Following Suspension, Slashdot, 9 de fevereiro de 2007.
Para saber mais (todos em inglês):
- OpenSSL gets hard-fought revalidation, por Lisa Hoover, 09/02/2007, em Linux.com.
- OpenSSL, por Wikipedia, a enciclopédia livre.
- Projeto OpenSSL, home-page do OpenSSL – The Open Source toolkit for SSL/TLS.
- OpenSSL FIPS Object Module user Guide: Com o advento do novo módulo 2.0 FIPS existem agora duas versões distintas do User Guide for the OpenSSL FIPS Object Module — O documento original User Guide for the OpenSSL FIPS Object Module Version 1.2 (FIPS 140-2 validation certificate #1051); e o novo User Guide for the OpenSSL FIPS Object Module Version v2.0 (FIPS 140-2 validation certificate #1747). Por Open Source Software Institute (OSSI). Veja também OpenSSL FIPS140 Files e Important Notes about OpenSSL and FIPS 140-2.
- Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules, 2007, NIST.
- FIPS PUB 140-2: Security Requirements for Cryptographic Modules, atualizado em 24/01/2007. National Institute of Standards and Technology (NIST), CSRC da Divisão de Segurança em Computadores, EUA.
One Reply to “OpenSSL atinge status de padrão de segurança FIPS”