Kostenlose eingebettete SSL/TLS-Bibliothek für ein GPL-inkompatibles Projekt

Wir suchen für unser Embedded-Projekt eine kostenlose SSL/TLS-Bibliothek, die nicht GPL-kompatibel ist.

Unser Projekt ist ein Non-Profit-Projekt, daher kommt es nicht in Frage, hohe Summen für eine proprietäre SSL/TLS-Bibliothek zu zahlen. Andererseits funktioniert die Verwendung einer GPL-Bibliothek ebenfalls nicht, da ein wesentlicher Teil der Funktionalität der Anwendung von einer externen Bibliothek eines Drittanbieters abhängt, die uns kostenlos zur Verfügung gestellt wird, die jedoch nicht mit GPL kompatibel ist. Wir dürfen den Code verwenden und die Ergebnisse mit dieser Bibliothek eines Drittanbieters in Objektcodeform verteilen, aber wir können die Anwendung nicht unter GPL verfügbar machen, da wir das Urheberrecht dieser Bibliothek nicht kontrollieren.

Das Projekt soll einen Cortex M3 oder M4 ARM als Host verwenden. Dies bedeutet, dass für den Kommunikationsstapel nur eine begrenzte Menge an Ressourcen verfügbar ist. Bisher haben wir unsere Idee mit FreeRTOS & lwIP getestet (beide sind mit unserem Lizenzschema kompatibel), aber die Betriebsversion muss eine Verschlüsselung für den TCP-Verkehr bereitstellen. Die Geschwindigkeit ist nicht entscheidend, da nur der Verwaltungsdatenverkehr durch das Netzwerk geleitet werden muss.

Wir haben die verfügbaren Optionen überprüft, aber es scheint, dass jedes SSL/TLS-Projekt, das auf einer ressourcenbeschränkten Plattform verwendet werden soll, entweder proprietär ist und nicht unerhebliche Lizenzkosten verursacht oder nur für die Verwendung mit GPL-Projekten verfügbar ist.

Antworten (2)

OpenSSL ist unter der Apache-Lizenz und der 4-Klausel-BSD-Lizenz verfügbar .

Beides sind freizügige Lizenzen, die die Verwendung in Produkten erlauben, die unter anderen Bedingungen lizenziert sind.

Obwohl ich nicht sicher bin, ob es auf ARM kompiliert wird. Außerdem hat es eine ziemlich schlechte Sicherheitsbilanz für eine so sicherheitskritische Bibliothek wie diese (die bekannte Heartbleed-Schwachstelle war nicht das einzige Problem, das es jemals hatte).

Haben Sie irgendwelche Daten über den Fußabdruck von OpenSSL auf MCUs? Ich habe ernsthafte Zweifel an der Machbarkeit, OpenSSL zu reduzieren, um in <64k SRAM und <128..256k Code zu passen.
Die einzige Software, die keine Schwachstellen veröffentlicht hat, ist die, die niemanden interessiert.

Wie sich herausstellte, wurde PolarSSL von ARM übernommen, und sie änderten die primäre Lizenzierung in eine Apache-Lizenz. Das Projekt wurde auch in mbed TLS umbenannt . Laut seiner Wikipedia-Seite ist es für die MCU-Nutzung geeignet (die RAM-Nutzung kann in 64 KB passen).

Dies scheint perfekt zu unseren Anforderungen zu passen.

Kostenlose eingebettete SSL/TLS-Bibliothek für ein GPL-inkompatibles Projekt
AntwortenHierDatenschutz-Bestimmungen1y, 0v