The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD

13.10.2014 09:55

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.1.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Из особенностей LibreSSL можно отметить ориентацию на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск включает в себя изменения, подготовленные после заморозки кодовой базы нативной редакции LibreSSL для OpenBSD, которая будет представлена 1 ноября в составе OpenBSD 5.6. Наработки LibreSSL 2.1 войдут в состав ветки OpenBSD 5.7.

Из улучшений можно отметить:

  • добавление функции SSL_CTX_use_certificate_chain() для загрузки данных сертификата из памяти, а не из файла;
  • устранение утечек памяти;
  • замена использования strdup() на strndup();
  • рефакторинг работы с расширениями ECC;
  • добавлен шифр CHACHA20 для симметричного шифрования;
  • переработан код для разбора опций;
  • добавлена опция для упорядоченной обработки флагов;
  • добавлена опция для обработки входных и выходных форматов;
  • обеспечена поддержка в Linux системного вызова getrandom(), появившегося в ядре 3.17;

Выпуск LibreSSL 2.1.0 не включает в себя реализацию нового API ressl, который пока разрабатывается отдельно. В рамках API ressl развивается упрощённая замена API OpenSSL, которая предоставляет высокоуровневый интерфейс для организации защищённых соединений, абстрагированный от внутренностей и скрывающий низкоуровневые манипуляции с сертификатами X.509 или ASN.1. Новый API предоставляет встроенные механизмы для верификация имени хоста, который позволяет убедиться, что имя хоста, к которому осуществляется соединение, соответствует имени, указанному в сертификате. При применении API OpenSSL данное сопоставление должно быть выполнено разработчиками приложения, которые часто игнорируют данную проверку или забывают её добавить.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Первый выпуск LibreSSL, форка OpenSSL от проекта OpenBSD
  3. OpenNews: Проект OpenSSL представил план дальнейшего развития
  4. OpenNews: Компания Google представила BoringSSL, форк OpenSSL
  5. OpenNews: Разработчики LibreSSL развивают новый API ressl
  6. OpenNews: Проект OpenBSD представил LibreSSL, форк OpenSSL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/40807-libressl
Ключевые слова: libressl, ssl, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Xaionaro (ok), 10:27, 13/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    /me уже готов к тонне минусов, ибо не знаком со внутренностями всяких libssl, однако может стоит разбить этот пакет на несколько. Я так понял, сейчас проблема в том, что пакет стал слишком большим, и сопровождать его на нужном уровне качества становится маловозможным. Дак может пойти по принципу UNIX-way, а вместо делания комбайнов? Сделать отдельные libecdsa, librsa, libgost и т.п. Потом как-нибудь всё это связать с помощью libssl, который в свою очередь будет использовать эти libкрипты.
     
     
     
     
    Часть нити удалена модератором

  • 4.12, llolik (ok), 11:19, 13/10/2014 [ответить]  
  • +/
    > И стало интересно, почему не делают как я описал выше.

    Я, конечно, не изучал вопрос досканально, но могу предположить, что многие части так завязаны друг на друга, что разделить их не проще, чем создать новую реализацию с нуля.

     
  • 2.3, Apple (?), 10:40, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А давно Unix way стал означат раздробить всё на сущности?
     
     
  • 3.5, Xasd (ok), 10:50, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    unix way -- это значит -- привязать к systemd!

    [шутка-юмор:).. с намёком на то, что этот термин понимает кто как хочет]

     
  • 3.6, Xaionaro (ok), 10:53, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А давно Unix way стал означат раздробить всё на сущности?

    «Пишите программы, которые делают что-то одно и делают это хорошо.»
    «Пишите программы, которые бы работали вместе.»

    Тут вы можете найти многократное упоминание:
    https://ru.wikipedia.org/wiki/%D0%A4%D0%B8%D0%BB

    А вообще, там есть ссылки на первоисточники.

     
     
  • 4.9, Apple (?), 11:15, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Верно, но выделение блочных шифров в отдельную сущность явно не следует этой идеологии.
     
     
  • 5.11, Xaionaro (ok), 11:17, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Почему?
     
     
  • 6.13, Andrey Mitrofanov (?), 11:21, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему?

    Потому что там _ни _при _каком делении или дроблении *интерфейсы* не станут проще или прозрачнее. //Наполовину пуст, да.

     
     
  • 7.21, Xaionaro (ok), 12:51, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Почему?
    > Потому что там _ни _при _каком делении или дроблении *интерфейсы* не станут
    > проще или прозрачнее. //Наполовину пуст, да.

    Не соглашусь, хоть и это сейчас не важно.

    А важно, что я говорю не про то, чтобы интерфейсы стали проще и прозрачнее. А про то, чтобы разбить программу на несколько, чтобы сообщество эффективнее взаимодействовало. Сейчас же будут форки openssl, в которых будут делать полезный код, но он будет сложно переносим между проектами (включая merge в оригинал). В результате вместо того, чтобы совместно пилить качественный продукт состоящий из хорошо работающих компонентов, каждый пилит свой bundle.

    Очень грубо говоря:
    Если разбить пакет на несколько, то LibreSSL-вцы бы просто пилили ядро (libssl) и минимальный набор базовых lib (libостальное). А OpenSSL-вцы смогли бы использовать это качественное и вылизанное ядро с базовыми lib-ами уже при добавлении поддержки дополнительных алгоритмов в виде отдельных lib.

     
     
  • 8.24, Аноним (-), 20:21, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Проблема в том, что у OpenSSL и LibreSSL равно как и Bo... текст свёрнут, показать
     
  • 3.7, Журналовращатель (?), 11:01, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > стал означат

    изначально

     
  • 2.14, xPhoenix (ok), 11:46, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну почему не делят? Делят. Например, в Debian функционал для pkcs12 вынесен в отдельные библиотеки. Потом просто в конфиге OpenSSL прописываешь, что нужно использовать, и всё. Не нужные какие-то протоколы - правь /etc/ssl/openssl.conf.
     
  • 2.25, Аноним (-), 05:31, 14/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > /me уже готов к тонне минусов, ибо не знаком со внутренностями всяких libssl

    Тебе повезло. Ибо знакомиться с этой фeкальной массой удовольствие ниже среднего.

    > однако может стоит разбить этот пакет на несколько.

    Лучше на SSL/TLS просто забить. For teh greater good, ну и вообще, если безопасность хоть на йот интересует.

     

  • 1.8, ASIC (ok), 11:03, 13/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если бы сейчас кто нибуть еще написал и мануал как прикруить его в существующие enterprise  на базе  spring, jboss, tomcat etc. то скорость разпространения этого пакета как минимум  удвойтся.
     
     
  • 2.15, xPhoenix (ok), 11:47, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > если бы сейчас кто нибуть еще написал и мануал как прикруить его
    > в существующие enterprise  на базе  spring, jboss, tomcat etc.
    > то скорость разпространения этого пакета как минимум  удвойтся.

    Сказано же, что будет отдельная либа, которая будет выдавать себя за OpenSSL, т.е. никакое ПО перенастраивать не надо будет, оно и не заметит подмены (если не будет использовать недокументированные возможности и грязные хаки).

     
     
  • 3.19, ASIC (ok), 12:35, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Упс, это я пропустил, спасибо за подсказку. Подмена не очень хорошая идея на мой взгляд,  вот то что хочется это не подмена а настоящая замена учитывая того что она уже написана или хотя бы врапер, допустим вы разрабатываете что то вроде Spring Boot + Spring Security + Tomcat + hibernate + postgresql  или аналог из Jboss для энерпраиз,  все это один такой "маленький " executable пакетик, так вот если вы берете и ставите пакетик на чужую машину он блин пользуется ssl'ем с чужой машины а так  пакетик был бы полностью независим.
     
     
  • 4.20, абыр (ok), 12:42, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня от вашего текста глаза вытекли.
    Вам мешочек запятых с точками отсыпать ?
     
     
  • 5.23, ASIC (ok), 13:26, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    не поможет, поверьте,я побывал  :)
     
     
  • 6.26, Аноним (-), 05:32, 14/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > не поможет, поверьте,я побывал  :)

    А надо чтобы вас побывали за такой текст. Может тогда дойдет.

     
     
  • 7.28, ASIC (ok), 11:03, 14/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    столько агрессий, и все "по" теме , к тому же и это от аноним.
     
  • 2.22, Аноним (-), 13:15, 13/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Никак, джава использует libnss
     

  • 1.18, YetAnotherOnanym (ok), 12:23, 13/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > с удалением излишней функциональности

    "Не удалось установить защищённое соединение, т.к. удалённый хост не поддерживает..."

     
     
  • 2.27, Аноним (-), 05:33, 14/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > "Не удалось установить защищённое соединение, т.к. удалённый хост не поддерживает..."

    А зачем тебе "защищенное" соединение с 40-битным DES, который Вася на GPU за полчаса распатронит? От чего оно тебя "защитит"? :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру