The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Значительный выпуск криптографической библиотеки OpenSSL 1.1.0

25.08.2016 20:04

После более полутора лет разработки состоялся релиз библиотеки OpenSSL 1.1.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Новая ветка включает изменения, нарушающие обратную совместимость на уровне API. Поддержка выпуска OpenSSL 1.1.0 будет осуществляться до 30 апреля 2018 года, выпуск 1.0.2 будет поддерживаться до 31 декабря 2019 года, а 1.0.1 - до 31 декабря 2016 года.

Основные новшества OpenSSL 1.1.0:

  • В libcrypto и libssl интегрированы потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 можно рассматривать, как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальных аппаратных ускорителей;
  • Добавлен движок AFALG, который использует netlink-интерфейс AF_ALG для доступа к криптографическому API ядра Linux;
  • Прекращена поддержка устаревших технологий, в том числе удалены компоненты, обеспечивающие работу SSLv2, Kerberos, 40- и 56-разрядных шифров. Из набора шифров по умолчанию исключены алгоритмы RC4 и 3DES;
  • Реализован новый многопоточный API;
  • В libcrypto и libssl добавлена поддержка асинхронных криптографических операций;
  • Поддержка TLS-расширения Extended Master Secret (RFC 7627);
  • Интеграция набора блочных шифров CCM;
  • Переработка тестового набора, который переписан на Perl с использованием модулей Test::Harness и Test::More;
  • Скрыты многие внутренние структуры libssl и libcrypto, в том числе BIGNUM, EVP_MD, EVP_MD_CTX и HMAC_CTX.
  • Переписаны реализация конечного автомата для SSL/TLS, код согласования версий протокола и слой обработки записей;
  • Операции с эллиптическими кривыми переведены на новый метод EC_KEY_METHOD;
  • В libcrypto добавлен режим работы с блочными шифрами OCB (Offset Codebook Mode);
  • Поддержка "pipelining" для одновременной обработки нескольких криптографических операций в рамках одного соединения;
  • Поддержка аутентификации хостов через DANE TLSA (DNS-based Authentication of Named Entities, RFC6698/RFC7671);
  • Представлена новая унифицированная система сборки;
  • Переработана сетевая библиотека BIO, в которой обеспечена полная поддержка IPv6;
  • Добавлены новые уровни безопасности;
  • Поддержка алгоритма scrypt;
  • Поддержка алгоритма X25519 (RFC 7748), предложенного Дэниэлом Бернштейном (D. J. Bernstein);
  • Поддержка KDF (Key Derivation Function) и HKDF (HMAC-based Extract-and-Expand Key Derivation Function). Доступна реализация TLS PRF в виде KDF;
  • Поддержка стандарта Certificate Transparency для мониторинга и аудита цифровых сертификатов;
  • Все публичные заголовочные файлы перенесены в директорию include/openssl (ранее использовались символические ссылки).


  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: В OpenSSL и LibreSSL устранены опасные уязвимости
  3. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
  4. OpenNews: Google перешел c OpenSSL на BoringSSL
  5. OpenNews: Проект OpenSSL переходит на лицензию Apache и вводит в практику CLA-соглашение
  6. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.0.2
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45027-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Ilya Indigo (ok), 20:12, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Давно интересует вопрос, если модуль openssl для PHP, собрать с сабжем, то в этом модуле появиться возможность шифровать с Poly1305/ChaCha20 сама собой, или для этого в коде самого модуля нужно будет явно добавить поддержку оного?
     
     
  • 2.7, h31 (ok), 22:52, 25/08/2016 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > возможность шифровать с Poly1305/ChaCha20

    Если речь про использование в SSL/TLS - нет, код модуля менять не нужно. Может быть придется изменить строку с набором используемых шифров, сделать ChaCha20 более приоритетным, но 99%, что в модуле уже есть функция для этого.
    Если хочешь использовать ChaCha20 именно как криптопримитив, в отрыве от всяких сетевых протоколов, то да, придется добавлять поддержку. Хотя там менять немного, у OpenSSL есть абстракция (EVP) для шифров.

     

  • 1.3, Аноним (-), 20:30, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Второй релиз же был?
     
     
  • 2.4, Аноним (-), 20:32, 25/08/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    Небыло, был кандидат в релизы.
     

  • 1.5, nuclight (??), 20:41, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > Скрыты многие внутренние структуры libssl и libcrypto, в том числе BIGNUM, EVP_MD, EVP_MD_CTX и HMAC_CTX.

    Опаньки. А LibreSSL тем же путем пойдет?

     
     
  • 2.8, h31 (ok), 22:55, 25/08/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    > Опаньки. А LibreSSL тем же путем пойдет?

    У них сейчас API на уровне OpenSSL 1.0.1. Т.е. даже до 1.0.2 полностью не довели. Так-то их дело, может и скроют, но очень вряд ли и скорее всего очень нескоро.

     
     
  • 3.14, Аноним (-), 17:33, 27/08/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    API там мхом поросшее сознательно "by design" а вот Само - у них как раз Быстрее разыивается, что замечательно.
     

  • 1.9, Аноним (-), 00:26, 26/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Кто-то может сделать адекватное сравнение возможностей openssl 1.1.0 и libressl 2.4.2?

    Заранее спасибо.

     
     
  • 2.16, Аноним (-), 14:33, 29/08/2016 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Кто-то может сделать адекватное сравнение возможностей openssl 1.1.0 и libressl 2.4.2?

    Ты сам.

    > Заранее спасибо.

    Это СПО, деточка. Тебе никто ничего не обязан.

     

  • 1.10, Аноним (-), 03:28, 26/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Гост не добавили еще?
     
     
  • 2.11, Онаним (?), 06:51, 26/08/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    *) The GOST engine was out of date and therefore it has been removed. An up
         to date GOST engine is now being maintained in an external repository.
         See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains
         support for GOST ciphersuites (these are only activated if a GOST engine
         is present).
         [Matt Caswell]
     
  • 2.15, Аноним (-), 12:19, 28/08/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    В глобальном масштабе - совершеннейшее ненужно (с) Кто хочет - может прилепить патч/модуль сам, благо опенсорс.
     
  • 2.18, Аноним (-), 10:53, 02/09/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    А зачем может быть нужен ГОСТ сегодня?
    Если только для каких-то стареньких сиситем,
    так для таких сиситем можно и libgost сделать?
     

  • 1.13, Я. Р. Ош (?), 00:13, 27/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    scrypt годнота
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру