OpenSSL

OpenSSL
開発元	The OpenSSL Project
最新版	3.3.1 - 2024年6月4日 (42日前) [±]
最新評価版	なし [±]
リポジトリ	github.com/openssl/openssl;
プログラミング; 言語	C言語、アセンブリ言語
対応OS	マルチプラットフォーム
種別	セキュリティライブラリ
ライセンス	Apache License 2.0(v3.0.0以降); OpenSSL LicenseとSSLeay Licenseの両方(v3.0.0未満);
公式サイト	www.openssl.org
	テンプレートを表示

OpenSSL︵オープン・エスエスエル︶は、TLSプロトコル・SSLプロトコルの、オープンソースで開発・提供されるソフトウェアである。中心となっているライブラリ︵C言語で書かれている︶は基本的な暗号化関数と様々なユーティリティ関数を実装している。様々なコンピュータ言語でOpenSSLライブラリを利用できるようにするラッパーもある。OpenSSLはEric A. YoungとTim HudsonによるSSLeay︵1998年12月に開発者がRSA Securityに異動したため開発は終了されている︶を基にしている。 OpenSSLが利用可能なプラットフォームは、ほぼ全てのUnix系︵SolarisやLinux、macOS、BSDを含む︶、OpenVMS、そしてWindowsである。IBMによってSystem i (iSeries/AS400) に移植されたバージョンもある。

バージョン履歴[編集]

バージョン	リリース日^[5]	サポート期限^[6]	概要	最新版
サポート終了：0.9.1	000000001998-12-23-00001998年12月23日	N/A	OpenSSLプロジェクトとしての最初のバージョン	0.9.1c (000000001998-12-23-00001998年12月23日)
サポート終了：0.9.2	000000001999-03-22-00001999年3月22日	N/A	0.9.1cの後継バージョン	0.9.2b (000000001999-04-06-00001999年4月6日)
サポート終了：0.9.3	000000001999-05-25-00001999年5月25日	N/A	0.9.2bの後継バージョン	0.9.3a (000000001999-05-27-00001999年5月27日)
サポート終了：0.9.4	000000001999-08-09-00001999年8月9日	N/A	0.9.3aの後継バージョン	0.9.4 (000000001999-08-09-00001999年8月9日)
サポート終了：0.9.5	000000002000-02-28-00002000年2月28日	N/A	0.9.4の後継バージョン	0.9.5a (000000002000-04-01-00002000年4月1日)
サポート終了：0.9.6	000000002000-09-24-00002000年9月24日	N/A	0.9.5aの後継バージョン	0.9.6m (000000002004-03-17-00002004年3月17日)
サポート終了：0.9.7	000000002002-12-31-00002002年12月31日	N/A	0.9.6mの後継バージョン	0.9.7m (000000002007-02-23-00002007年2月23日)
サポート終了：0.9.8	000000002005-07-05-00002005年7月5日	000000002015-12-31-00002015年12月31日^[7]	0.9.7mの後継バージョン	0.9.8zh (000000002015-12-03-00002015年12月3日)
サポート終了：1.0.0	000000002010-03-29-00002010年3月29日	000000002015-12-31-00002015年12月31日^[7]	0.9.8nの後継バージョン	1.0.0t (000000002015-12-03-00002015年12月3日)
サポート終了：1.0.1^[8]	000000002012-03-14-00002012年3月14日	000000002016-12-31-00002016年12月31日	1.0.0の後継バージョン RFC 6520 TLS/DTLS ハートビート拡張のサポート SCTPのサポート RFC 5705 RFC 5764 Next Protocol Negotiation (NPN) 証明書、署名要求及び証明書失効リストでのPSS署名 CMSでのパスワードベースの受信者情報のサポート TLS 1.1及びTLS 1.2のサポート未検証の2.0 FIPSモジュールのための予備的FIPS機能 Secure Remote Password protocol（英語版） (SRP) のサポート	1.0.1u (000000002016-09-22-00002016年9月22日)
サポート終了：1.0.2^[9]	000000002015-01-22-00002015年1月22日	000000002019-12-31-00002019年12月31日	1.0.1の後継バージョン長期サポート版 (Long Term Support)^[6] TLS 1.2及びDTLS 1.2向けのスイートBのサポート DTLS 1.2のサポート TLSでの楕円曲線暗号の自動的選択 TLSがサポートする署名アルゴリズム及び楕円曲線暗号のためのAPI SSL_CONF設定のAPI TLS Brainpoolのサポート ALPNのサポート CMSのためのRSA-PSS（英語版）、RSA-OAEP、楕円曲線ディフィー・ヘルマン鍵共有 (ECDH) 及びX9.42ディフィー・ヘルマン鍵共有のサポート	1.0.2u (000000002019-12-20-00002019年12月20日)
サポート終了：1.1.0^[10]	000000002016-08-25-00002016年8月25日	000000002019-09-11-00002019年9月11日	1.0.2hの後継バージョン BLAKE2 (RFC 7693) のサポート ChaCha20-Poly1305 (RFC 7539) のサポート X25519 (RFC 7748) のサポート DANE及びCertificate Transparencyのサポート CCM暗号利用モードのサポート Extended Master Secretのサポート SSL 2.0のサポートの削除ケルベロス認証のサポートの削除 libsslのデフォルト暗号スイートからのRC4及びトリプルDESの削除 DSS、SEED、IDEA、Camellia及びAES-CCMをデフォルトの暗号リストから削除 40ビット及び56ビット暗号のサポートをlibsslから削除	1.1.0l (000000002019-09-10-00002019年9月10日)
サポート終了：1.1.1^[11]	000000002018-09-11-00002018年9月11日	000000002023-09-11-00002023年9月11日	長期サポート版 (Long Term Support)^[6] TLS 1.3のサポート^[11]^[12] SHA-3のサポート X448及びEd448 (RFC 7748) のサポート SipHash（英語版）のサポート ARIAのサポート multi-prime RSA (RFC 8017) のサポート SM2、SM3（英語版）及びSM4（英語版）のサポートハートビート拡張のサポートの削除 QNXのサポートの削除	1.1.1w (000000002023-09-11-00002023年9月11日)
サポート中：3.0	000000002021-09-07-00002021年9月7日	000000002026-09-07-00002026年9月7日	長期サポート版 (Long Term Support) ライセンスをApache License 2.0に変更^[13]	3.0.14 (000000002024-06-04-00002024年6月4日)
サポート中：3.1^[14]	000000002023-03-14-00002023年3月14日	000000002025-03-14-00002025年3月14日		3.1.6 (000000002024-06-04-00002024年6月4日)
サポート中：3.2^[15]	000000002023-11-23-00002023年11月23日	000000002025-11-23-00002025年11月23日		3.2.2 (000000002024-06-04-00002024年6月4日)
現行バージョン：3.3^[16]	000000002024-04-09-00002024年4月9日	000000002026-04-09-00002026年4月9日		3.3.1 (000000002024-06-04-00002024年6月4日)
凡例サポート終了サポート中現行バージョン最新プレビュー版将来のリリース

使用ライブラリ( libssl, libcrypto )を ver. 1.0 から 1.1 に変更する場合には、使用元のプログラムを少なからず変更する必要がある。本変更に関するノウハウや解説が^[17]においてまとめられている。

暗号化アルゴリズム[編集]

OpenSSLは以下の暗号化アルゴリズムをサポートする。プロトコル SSL 3.0、TLS (1.0、1.1、1.2、1.3)、DTLS (1.0、1.2) 共通鍵暗号方式 AES、Blowfish、Camellia、ChaCha20、Poly1305、SEED、CAST-128、DES、IDEA、RC2、RC4、RC5、トリプルDES、GOST 28147-89︵英語版︶^[18]、SM4︵英語版︶ハッシュ関数方式 MD5、MD4、MD2、SHA-1、SHA-2、SHA-3、RIPEMD-160、MDC-2︵英語版︶、GOST R 34.11-94︵英語版︶^[18]、BLAKE2、Whirlpool^[1^9]、SM3︵英語版︶公開鍵暗号方式 RSA、DSA、ディフィー・ヘルマン鍵共有、楕円曲線暗号、X25519、Ed25519、X448、Ed448、GOST R 34.10-2001^[18]、SM2

FIPS 140-2の承認[編集]

OpenSSLは、NIST︵アメリカ国立標準技術研究所︶のCryptographic Module Validation Program︵英語版︶によるコンピュータセキュリティ標準であるFIPS 140-2において承認された^[20]初めてのオープンソースプログラムである。ただしOpenSSL自体が検証されたのではなく、OpenSSL FIPS Object Moduleという標準対応用のソースコードを組み込んだものが検証されている。このモジュールはOpenSSL 1.0.1/1.0.2で使用可能。^[21] 最初の承認は2006年1月に行われた。同年7月には﹁承認されたモジュールによる外部のプログラムとの相互作用に関し疑問が提示された﹂^[22]ため、いったんは撤回されたものの、翌2007年に再び承認が行われた^[23]^[24]。

ライセンス[編集]

OpenSSL v3.0.0未満はOpenSSL LicenseとSSLeay Licenseの両方のライセンス下で公開されている^[25]。OpenSSL v3.0.0以降ではApache License Version 2.0のみとなる^[2]^[3]^[4]。OpenSSL LicenseはApache License, Version 1.0であり、SSLeay Licenseは宣伝条項付きの四条項BSDライセンスである。一般にデュアルライセンスではユーザーは2つのライセンスのうち片方を選択できるが、OpenSSLの説明書きによると、両方のライセンスが適用されることを意味している。 OpenSSL v3.0.0未満のOpenSSL Licenseは、Apache License Version 2.0ではなくApache License Version 1.0である(前述の通りOpenSSL v3.0.0以降ではApache License Version 2.0のみ^[2]^[3]^[4])ため、﹁この製品はOpenSSLツールキットを利用するためにOpenSSLプロジェクトによって開発されたソフトウェアを含む。(This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit^[26])﹂という一文を再頒布の際に含めなければならないという規定が含まれ、GNU General Public License (GPL) と非互換である^[27]。ただしThe OpenSSL Projectの見解では、多くのLinuxやBSDディストリビューションにおいて、OpenSSLはオペレーティングシステムの一部をなしているためGPLの制限は適用されないとしている^[28]。中には、"OpenSSL exception"を追加してシステムで動かせるようにしているプロジェクトもある。GNU Wgetとclimm︵英語版︶プロジェクトがそのような例である^[29]^[30]。

バグによる脆弱性[編集]

Debianの弱い鍵[編集]

ValgrindをOpenSSLに対しても適用可能とするために、Debianディストリビューションに含まれるOpenSSLにパッチを適用したが、この際に誤って擬似乱数生成器が正しく動作しなくなり、生成される暗号鍵が予測可能なものとなってしまった^[31]。このバグは2006年9月17日にリリースされたDebian (OpenSSL 0.9.8c-1) から含まれており、バグが判明してDebianから発表されたのは2008年5月13日であった^[32]。Debian系以外のシステムを含め、問題となったDebian上で生成した鍵を使用している場合は、脆弱性のないOpenSSLで鍵を再生成する必要がある^[31]。このバグは、Debian 4.0 (etch) ではOpenSSLの0.9.8c-4etch3以降で、Debian 5.0 (lenny) では0.9.8g-9で修正されている^[32]。

Heartbleed[編集]

詳細は「ハートブリード」を参照

2014年4月7日に、OpenSSLの1.0.2-betaや1.0.1系列で、TLSのheartbeat拡張^[33]について、メモリの扱いにバグがあると発表された^[34] 。このバグを利用することで、ハートビート1回ごとに64キロバイトのメモリを読み取ることが可能となる^[34]。この問題のCVE番号はCVE-2014-0160である^[35]。この脆弱性は2011年12月31日から存在し、OpenSSL 1.0.1がリリースされた2012年3月14日以降、脆弱性のあるOpenSSLが広く使われている^[36]^[37]。サーバ側のメモリを読むことで、機密情報にアクセスが可能となり、場合によっては秘密鍵を盗まれて^[36]暗号化が無力となり、中間者攻撃を仕掛けることが可能となる。ユーザーに関する非公開の情報、たとえばセッションクッキーやパスワードも漏れうるため、他者になりすますことも可能となってしまう^[38^]。脆弱性が判明した段階で、認証局から証明を受けたHTTPSサーバのうち、ざっと17%から半分程度が影響するものと見られている^[^39]。基本的な対策はハートビートを使用しない︵-DOPENSSL_NO_HEARTBEATS オプションを付けて再コンパイルする︶か、脆弱性を修正したバージョン︵1.0.1g以降︶への更新となる^[3^4]。

CCS Injection Vulnerability[編集]

2014年6月6日に、過去10年以上に渡るすべてのOpenSSLのバージョンについて、ChangeCipherSpecメッセージの処理の不正な順序による挿入によって攻撃者の意図する弱い暗号へ強制変更させた通信として開始されるという攻撃方法が発見され、CCS Injection脆弱性 (CCS Injection Vulnerability, CVE-2014-0224) として公開された^[40]。この脆弱性は過去のOpenSSLのほとんどのバージョンに存在し、通信開始手順の途中で不正な信号を送ると、該当する通信で使われる一時的な暗号鍵が、第三者でも予想できてしまうというものである。また、脆弱性発見の経緯が、発見者により公開されている^[41]。

DROWN攻撃[編集]

Decrypting RSA with Obsolete and Weakened eNcryptionと名付けられた攻撃手法の略称^[42]。脆弱性の概要は、SSLv2を使用可能にしていると攻撃者は、同じ秘密鍵を共有するSSLv2が有効なサーバにプローブを送信することで、新しいプロトコルであるTLSを使ったクライアントとサーバ間の接続を復号することができる^[43]。想定される影響は、遠隔の攻撃者に、SSLv2 をサポートしているサーバの暗号通信を解読されるおそれがある。SSLv2 をサポートしており、TLS 通信で SSLv2 と同一の証明書を使用している場合、TLS の暗号通信であっても、同様の影響を受けるおそれがある^[44]。この攻撃に対処したパッチは、1.0.1sまたは1.0.2.g^[45]である。 SSLv2自体は、2011年から非推奨^[46]となっている。

フォーク[編集]

LibreSSL[編集]

詳細は「LibreSSL」を参照

OpenBSDプロジェクトでは、前述のハートブリード問題をうけて、OpenSSL 1.0.1gをベースとしてフォークしたLibreSSLを2014年4月に立ち上げた^[47]。これは、OpenBSDで利用されているOpenSSLライブラリを置き換えることを目的としており、OpenSSLのコードの見直しを行いよりセキュアな実装とすることを目指している。既に、OpenBSDにおいて不要なコードや、古いシステムのサポートのためのコードの削除を行い、90000行以上のソースコードの削減を行っている^[48]。 2014年7月11日に、LibreSSL 2.0.0がリリースされた^[49]^[50]。

BoringSSL[編集]

Googleも、OpenSSLをフォークしたBoringSSLの立ち上げを2014年6月に発表した^[51]^[52]。Googleでは、OpenSSL、LibreSSL双方の開発者と協力していくとしている。

boringssl - Git at Google

脚注[編集]

[脚注の使い方]

(一)^ “OpenSSL: Newslog”. 2024年6月6日閲覧。 (二)^ ^a ^b ^cMatt Caswell (2018年11月28日). “The Holy Hand Grenade of Antioch”. OpenSSL Foundation, Inc. 2019年1月3日閲覧。 (三)^ ^a ^b ^cRichard Levitte (2018年12月6日). “Change license to the Apache License v2.0 openssl/LICENSE at master · openssl/openssl · GitHub”. OpenSSL Foundation, Inc. 2019年1月3日閲覧。 (四)^ ^a ^b ^c樽井秀人 (2018年11月30日). “﹁OpenSSL﹂のバージョンの付け方が変更～ライセンスは“Apache License 2.0”へ現行バージョンはそのまま、v3.0.0から実施”. Impress Corporation. 2019年1月3日閲覧。 (五)^ “Changelog”. OpenSSL Software Foundation. 2019年10月7日閲覧。 (六)^ ^a ^b ^c“Release Strategy”. OpenSSL Software Foundation. 2023年3月18日閲覧。 (七)^ ^a ^bMark J Cox (2016年1月25日). “(openssl-announce) Forthcoming OpenSSL releases” (英語). The OpenSSL Project Team. 2016年12月7日閲覧。 “support for 1.0.0 and　0.9.8 releases ended on 31st December 2015 and are no longer receiving security　updates” (八)^ “OpenSSL 1.0.1 Series Release Notes”. 2015年1月20日時点のオリジナルよりアーカイブ。2017年2月20日閲覧。 (九)^ “OpenSSL 1.0.2 Series Release Notes”. 2017年2月20日閲覧。 (十)^ “OpenSSL 1.1.0 Series Release Notes”. 2017年2月20日閲覧。 (11)^ ^a ^bCaswell, Matt (2018年9月11日). “OpenSSL 1.1.1 Is Released” (英語). www.openssl.org. OpenSSL Foundation. 2019年10月7日閲覧。 (12)^ Caswell, Matt (2018年2月8日). “Using TLS1.3 With OpenSSL - OpenSSL Blog” (英語). www.openssl.org. OpenSSL Foundation. 2019年10月7日閲覧。 (13)^ Caswell, Matt (2018年11月28日). “The Holy Hand Grenade of Antioch”. OpenSSL Blog. 2019年10月7日閲覧。 (14)^ “OpenSSL 3.1 Final Release” (英語). OpenSSL Foundation. 2023年6月3日閲覧。 (15)^ “OpenSSL Announces Final Release of OpenSSL 3.2.0” (英語). OpenSSL Foundation. 2023年11月25日閲覧。 (16)^ “OpenSSL 3.3 Final Release Live” (英語). OpenSSL Foundation. 2024年6月6日閲覧。 (17)^ “OpenSSL (libssl libcrypto) の version を 1.1未満(1.0.2以前) から 1.1 以降に変更する方法や注意点など”. openssl-migration. 2021年5月21日閲覧。 (18)^ ^a ^b ^c“GOST engine OpenSSL 1.0.0 README”. cvs.openssl.org. 2013年4月15日時点のオリジナルよりアーカイブ。2019年10月7日閲覧。 (19)^ “OpenSSL source code, directory crypto/whrlpool”. 2017年8月29日閲覧。 (20)^ “FIPS-140 - OpenSSL.org” (2017年3月14日). 2019年11月12日閲覧。 (21)^ “OpenSSL User Guide for the OpenSSL FIPS Object Module v2.0” (2017年3月14日). 2019年11月12日閲覧。 (22)^ NIST recertifies open source encryption module (23)^ “Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules 2007”. アメリカ国立標準技術研究所 (2007年). 2013年6月24日閲覧。 (24)^ “FIPS 140-2 Validation Certificate” (PDF). アメリカ国立標準技術研究所 (2007年). 2013年6月24日閲覧。 (25)^ OpenSSL: Source, License (26)^ http://www.openssl.org (27)^ Licenses - Free Software Foundation (28)^ OpenSSL: Frequently Asked Questions (29)^ WGET 1.10.2 for Windows (win32) (30)^ climm - Download! (31)^ ^a ^bDebianのOpenSSLに脆弱性、﹁弱い鍵﹂が破られる恐れ @IT、2008年5月20日︵2014年4月12日閲覧︶。 (32)^ ^a ^b“DSA-1571-1 openssl – predictable random number generator”. Debian (2008年5月13日). 2012年12月3日閲覧。 (33)^ Seggelmann, R. et al. (2012年2月). “Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension”. RFC 6520. Internet Engineering Task Force (IETF). 2014年4月8日閲覧。 (34)^ ^a ^b ^cOpenSSL.org (2014年4月7日). “OpenSSL Security Advisory [07 Apr 2014]”. 2014年4月9日閲覧。 (35)^ [1] (36)^ ^a ^bCodenomicon Ltd (2014年4月8日). “Heartbleed Bug”. 2014年4月8日閲覧。 (37)^ Goodin, Dan (2014年4月8日). “Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping”. Ars Technica. 2014年4月8日閲覧。 (38)^ “Why Heartbleed is dangerous? Exploiting CVE-2014-0160”. IPSec.pl (2014年). 2014年4月8日閲覧。 (39)^ Mutton, Paul (2014年4月8日). “Half a million widely trusted websites vulnerable to Heartbleed bug”. Netcraft Ltd.. 2014年4月8日閲覧。 (40)^ “CCS Injection Vulnerability”. lepidum.co.jp (2014年6月6日). 2014年6月6日閲覧。 (41)^ CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - CCS Injection (42)^ https://drownattack.com/drown-attack-paper.pdf DROWN: Breaking TLS using SSLv2 (43)^ https://japan.cnet.com/article/35078777/ HTTPSサイトの3割に影響する﹁DROWN﹂脆弱性見つかる--OpenSSLはパッチ公開 (44)^ “JVNVU#90617353:SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)”. Japan Vulnerability Notes (2016年3月2日). 2018年6月15日閲覧。 (45)^ https://www.openssl.org/news/vulnerabilities.html#2016-0800 CVE-2016-0800 (OpenSSL advisory) [High severity] 1st March 2016 (46)^ https://datatracker.ietf.org/doc/html/rfc6176 (47)^ “OpenBSD has started a massive strip-down and cleanup of OpenSSL”. OpenBSD journal (2014年4月15日). 2014年6月22日閲覧。 (48)^ “OpenBSD forks, prunes, fixes OpenSSL”. ZDNet (2014年4月21日). 2014年6月22日閲覧。 (49)^ “Index of /pub/OpenBSD/LibreSSL” (2014年7月11日). 2014年7月11日閲覧。 (50)^ Beck, Bob (2014年7月11日). “First release of LibreSSL portable is available”. Marc.info. 2014年7月11日閲覧。 (51)^ “Google unveils independent “fork” of OpenSSL called “BoringSSL””. Ars Technica (2014年6月21日). 2014年6月21日閲覧。 (52)^ “BoringSSL”. Adam Langley's Weblog (2014年6月20日). 2015年9月22日閲覧。

外部リンク[編集]

公式ウェブサイト（英語）
The OpenSSL License and the GPL、Mark McLoughlinによる。
Win32 OpenSSL （英語）

この項目は、FLOSSに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（Portal:FLOSS）。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[1

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38

[

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]