Состоялся релиз библиотеки OpenSSL 3.5.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. OpenSSL 3.5 отнесён к выпускам с длительным сроком поддержки (LTS), обновления для которых выпускаются в течение 5 лет (до апреля 2030 года). Поддержка прошлых веток OpenSSL 3.3, 3.2 и 3.0 LTS продлится до апреля 2026 года, ноября 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63039
GOST в комплекте?
А смысл? Сертифицировать openssl ты все равно не сможешь, а без сертификации использовать даже для общения с котом - бессмысленно.
смысл в том, чтобы было что сертифицировать.
я так понимаю нет сейчас 3.x с гостом в приниципе.
Почему нет? Как же те майнтайнеры "отечественных дистрибутивов" (ц), кто якобы всё доделывает за неумелыми программистами?
там вроде есть только шифрация гостом, а сертификаты выписать нельзя.
потому всякие openvpn с сертификатом версии 2.4 , например.
> смысл в том, чтобы было что сертифицировать.
> я так понимаю нет сейчас 3.x с гостом в приниципе.В свое время cryptopro патчсет сопровождала - но т.к. до сертификации этого дела так и не дошло - история сама собой затухла, если я ничего не путаю.
Криптоком, не?
> Криптоком, не?Ага. Уж на что openssl штука спессфисская - но их собственный api и тулинг это нечто прям за гранью - а уж когда к этому rutoken добавляется - тушите свет, пишите письма...
Смотри пример: https://en.wikipedia.org/wiki/Comparison_of_cryptography_lib...Сертифицируется по определенному критерию, конкретная версия крыптобиблиотеки некой организацией которая собрала бинарьный пакет. Именно свой бинарь сертифицирует поставщик ПО.
While OpenSSL is not FIPS 140-2 validated by OpenSSL.org, validations exist for versions from: Amazon Web Services Inc., Aqua Security Software Ltd., Broadcom Inc., Canonical Ltd., Cisco Systems Inc., Cohesity Inc., ControlUp Technologies Inc., Crestron Electronics Inc., Dell Inc., Gallagher Group, Hewlett Packard Enterprise, IBM Corporation, ICU Medical Inc., Intelligent Waves, Ixia, KeyPair Consulting Inc., Koninklijke Philips N.V., Lenovo Group Limited, LG Electronics Inc., LogRhythm, McAfee LLC, Metaswitch Networks Ltd, NetBrain Technologies Inc., Nutanix Inc., Onclave Networks Inc., Oracle Corporation, REDCOM Laboratories Inc., Red Hat Inc., SafeLogic Inc., Super Micro Computer Inc., SUSE LLC, Tanium Inc., Trend Micro Inc., Unisys Corporation, Verizon, VMware Inc. and Wickr Inc.
То есть в нашем случае сертификацию ГОСТ проходят бинарные пакеты openssl от: Astra, ALT, Rossa, RedOS, Calculate, ...
>[оверквотинг удален]
> Inc., Canonical Ltd., Cisco Systems Inc., Cohesity Inc., ControlUp Technologies Inc.,
> Crestron Electronics Inc., Dell Inc., Gallagher Group, Hewlett Packard Enterprise, IBM
> Corporation, ICU Medical Inc., Intelligent Waves, Ixia, KeyPair Consulting Inc., Koninklijke
> Philips N.V., Lenovo Group Limited, LG Electronics Inc., LogRhythm, McAfee LLC,
> Metaswitch Networks Ltd, NetBrain Technologies Inc., Nutanix Inc., Onclave Networks Inc.,
> Oracle Corporation, REDCOM Laboratories Inc., Red Hat Inc., SafeLogic Inc., Super
> Micro Computer Inc., SUSE LLC, Tanium Inc., Trend Micro Inc., Unisys
> Corporation, Verizon, VMware Inc. and Wickr Inc.
> То есть в нашем случае сертификацию ГОСТ проходят бинарные пакеты openssl от:
> Astra, ALT, Rossa, RedOS, Calculate, ...Не-а. Это прям разные сертификаты - условно "об отсутствии НДВ" в, если не путаю, ФСТЭК получают примерно все "производители" отечественных ОС, а вот сертификат на "криптографические средства защиты информации" (Корректность реализации алгоритма, соответствия требованиям к классу изделий и та дэ) проходят в ФСБ - и вот хрена лысого этот самый openssl эту самую сертификацию за не самые малые деньги получит...
> сертификат на "криптографические средства защиты информации" (Корректность реализации алгоритма, соответствия требованиям к классу изделий и та дэ) проходят в ФСБ - и вот хрена лысого этот самый openssl эту самую сертификацию за не самые малые деньги получит...Мне кажется, что если организация уже имеет лицензию ФСБ "на разработку криптографическиэх средств защиты информации", то при желании может проверить и сертифицированть в ФСБ: gnutls и libgcrypt (gnupg) в которых ГОСТ уже есть.
С Астра.
у них нет ни госта чтобы сертификаты им делать ни сертификата ФСБ для шифрации
бесполезное
Т.е. как это? Такая вся для военной отрасли сертицированная Астра без шифров ГОСТ?
> GOST в комплекте?Нет. Тут:
> https://github.com/gost-engine/engineОно старое
https://www.opennet.dev/openforum/vsluhforumID10/5680.html
gnutls & gnupg в новых версиях должны поддерживать ГОСТ без патчей. Вопрос только к дистрибутивам Linux чтоб собрали пакет с поддержкой ГОСТ.
А с libressl-3.9.0 поддержку ГОСТ выкинули: https://www.opennet.dev/opennews/art.shtml?num=60765
Без сертификации его нельзя использовать в реальном продуктеесли нужна openssl с ГОСТ, то нужно смотреть в сторону OSSL от инфотекс
в любом случае в openssl есть механизм плагинов, через которые туда можно подключить любой алгоритм.
> Добавлена поддержка криптоалгоритмов, стойких к подбору на квантовом компьютере:И нестойких для алгебраических атак на классической, как SIKE (просто в отличии от SIKE остальные ещё не отреверсили)?
По классике
https://www.interfax.ru/digital/1017951
> остальные ещё не отреверсилиа че там реверсить то? :))
Квантовые компы ещё не поступили в продажу, а "стойкие" алгоритмы уже подготовлены. Надеюсь не одну службу безопасТности не обделили и предоставили личные ключики каждой.
https://blog.cr.yp.to/20240102-hybrid.html
хотя бы один минусатор, пройдись по ссылке.
> Квантовые компы640 Кубит хватит всем.
Насамом деле.
1200 Кубит, потому что ядро Rust.
100500 Кубит потому что Wayland.
Curl писал, что реализация quic в openssl медленная и ни с чем не совместимая.Интересно, поменялось ли что-то.
>ни с чемНу то есть с гуглей.
А для чего ж оно ещё может быть нужно?
Зачем в криптобиблиотеку тащить реализацию QUIC? Лучше бы уязвимости фиксили.
Потому что quic без криптографии не бывает, там криптографические шаги прямо в state machine есть.Если предполагается коннект без СА, то клиенты генерят одноразовые самоподписанные сертификаты.
Затем, что это не криптобиблиотека. Криптобиблиотека - это вон какое-нибудь NaCl. Попробуй с ее помощью написать свой допустим https - поржем.Другое дело что целиком quic там не для того чтоб ты им пользовался напрямую, а скорее чтоб как-то можно было связанные с ним вещи отлаживать. Т.е. для s_client и тому подобных чисто тестовых применений.
Лучше бы добавили CMakeLists.txt