OpenSSLモジュールアップデート版の検証の行く末は如何に
OpenSSLは、プロプライエタリなSSL(Secure Sockets Layer)暗号化と同様の形で、プログラムによる安全なデータ交換を可能にするオープンソースのツールキットである。FIPSの認定は、米国防総省のような政府機関が機密データの管理にOpenSSLを使用できるかどうかを決める重要な意味を持つ。その検証プロセスはCryptographic Module Validation Program(CMVP、暗号モジュール検証プログラム) ― 米国標準技術局(NIST:National Institute of Standards and Technology)とカナダ通信安全保障局(CSE:Communications Security Establishment)の共同事業 ― によって実施され、通常は数か月で完了する。しかし、OpenSSLの前バージョンの検証にはなんと5年もかかった。
検証が長期化した一番の理由は、ソフトウェアのセキュリティ性を保証する新しい試験方法が開発されたあとの学習曲線の険しさにあった。しかし、検証プロセスの中盤に試験機関がコードベースの検証について匿名の苦情を受けた結果、その調査の着手とともにプロジェクトの検証は長らく保留の状態になってしまった。その後ようやくOpenSSLの検証は再開された。あの苦情はプロプライエタリなベンダが出したもので、データ交換ソリューションとしてOpenSSLの利用を検討していた政府機関を躊躇させるFUD活動をねらったものだとOSSIは信じて疑わない、とWeathersby氏は語る。
今回の検証プロセスでも同じような事態になることをOSSIが警戒していてもおかしくはない。しかし、Weathersby氏は心配していないという。
「今回、我々は最初のときのようなひどい目に遭うことは想定していない。この想定の根拠はいくつかある。1つは、最初の検証が技術的にも事業的にも本当に初めての経験だったことだ。(OSSIの上級技術顧問)Steve Marquess氏と技術チームは、試験ラボやCMVPの担当官とともに技術的難題を解決するうえですばらしい働きをしてくれた」
「もう1つは、CMVPが最初の検証中に、ソースコード以外の部分で我々が受けた多くの非難について毅然とした態度をとってくれたことだ。時間をかけて最初の認定(認定書第733号)が終わり、人々(ベンダと政府機関の双方)が認定されたOpenSSLを自分たちのソリューションに組み込んでいる今、この認定済みのオープンソースモジュールが現在入手できるプロプライエタリなソリューションに引けをとることはない。そうした事実は、OpenSSLの成功を快く思わない連中が作り上げたFUD以上に広まっている」
「要するに、今や我々のOpenSSLはシステムにおいて主流以上の製品として見られており、今後は、試験ラボや政府の検証機関によって検討中のその他あらゆる製品と同じ扱いを受けることになるというわけだ」
検証プロセスは始まったばかりだが、OpenSSL 0.9.8モジュールとそのすべての関連ドキュメントはOpenSSLオープンソースライセンスの下でまもなく公開される見込みである。その後、開発チームは、検証プログラムの重要任務とのバランスを取りながら、次のアップデート版の活動に戻っていくことになる。
「次のバージョンではできるだけ最新のソリューションを提供したい、と我々は心から思っている。(我々の使命は)“定期的検証”プロセスを軌道に乗せ、絶えず最新のOpenSSLを検証のパイプラインに送り出していくことだ」
「このやり方のすばらしい点は、我々のスポンサーである国防総省の担当者が我々の絶え間ない進歩を見て“よくやってくれた。今度はこの問題をどうにかできないか確かめてほしい”と言い続けてくれることだ 実際、OpenSSLの活動は、政府と業界の双方からの参画と支援を得るために発展と成長を続けている。本当に何年も苦労した甲斐があったというものだ」
