форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Компания Amazon представила собственную открытую реализацию TLS"	+/–
Сообщение от opennews (??) on 30-Июн-15, 19:59
Компания Amazon анонсировала (https://blogs.aws.amazon.com/security/post/TxCKZM94ST1S6Y/In...) проект s2n (https://github.com/awslabs/s2n), в рамках которого подготовлена компактная и быстрая библиотека с реализацией протоколов SSLv3, TLS1.0, TLS1.1 и TLS1.2. Из методов шифрования поддерживаются  128-и 256-разрядный AES в режимах CBC и GCM, а также 3DES и RC4. Среди других возможностей: DHE, ECDHE, TLS-расширения SNI (Server Name Indicator), ALPN (Application-Layer Protocol Negotiation) и OCS (Online Certificate Status Protocol). Код s2n написан на языке Си и распространяется (https://github.com/awslabs/s2n) под лицензией Apache. Библиотека имеет модульную структуру и, помимо встроенных алгоритмов шифрования, может использовать для выполнения операций шифрования внешние криптографические фреймворки, такие как OpenSSL, LibreSSL, BoringSSL и Apple Common Crypto. Предоставляемый библиотекой API во многом напоминает типовой программный интерфейс ввода/вывода, реализуемый в стандартах POSIX. Поддерживаются блокируюемые и неблокируемые операции, а также передача в полнодуплексном режиме, без необходимости установки блокировок и мьютексов. Пользователю предлагается достаточно взвешенный набор настроек по умолчанию, подразумевающий отключение SSLv3, RC4 и DHE. В целом, разработчики библиотеки придерживаются принципа минимализма и реализуют только самые необходимые и востребованные на практике возможности, без нагромождения кода редко используемыми расширениями и возможностями, которые потеряли актуальность из-за уязвимостей (например, согласование сеансов или DTLS). Код библиотеки составляет всего около 6 тысяч строк, что значительно упрощает проведение аудита и выявление ошибок (для сравнения OpenSSL занимает около 500 тысяч строк, из которых 70 тысяч связано с TLS). Для повышения защищённости в  s2n также предпринят ряд дополнительных мер, таких как регулярное проведение статического анализа кода и  fuzzing-тестирования, обширный набор unit-тестов, применение методов безопасного программирования на Си с использованием обвязок, проверяющих соблюдение границ буферов для всех функций работы с памятью, сериализацией и строками. Для предотвращения утечки данных в s2n применяется техника оперативной очистки буфера с зашифрованными данными после его чтения приложением. Также используются специализированные вызовы операционной системы для запрета сброса областей памяти в раздел подкачки и core-дампы. Интересный подход предпринят в s2n для генерации случайных чисел. Так как генератор псевдослучайных чисел является ключевым звеном в системах шифрования, для каждой нити библиотекой предоставляется два генератора случайных чисел - один для публичной отдачи данных, а второй только для внутреннего использования. Значение внутреннего генератора явно не фигурируют во внешних запросах и используются только внутри библиотеки, что позволяет превентивно обезопасить себя от совершения атак, направленных на предсказание значений генератора случайных чисел на основе уже известных сгенерированных последовательностей. URL: https://blogs.aws.amazon.com/security/post/TxCKZM94ST1S6Y/In... Новость: http://www.opennet.dev/opennews/art.shtml?num=42537
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Компания Amazon представила собственную открытую реализацию ..."	+5 +/–
Сообщение от Аноним (??) on 30-Июн-15, 19:59
Годно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Компания Amazon представила собственную открытую реализацию ..."	+2 +/–
	Сообщение от Анончик on 30-Июн-15, 20:16
	Оно самое. Шифр RC4, ORLY?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от h31 (ok) on 30-Июн-15, 20:21
	Там же написано - отключён по умолчанию.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Компания Amazon представила собственную открытую реализацию ..."	+5 +/–
	Сообщение от Andrey Mitrofanov on 30-Июн-15, 20:48
	> Там же написано - отключён по умолчанию. Как там было-то, "три дня и три ночи скака^Wписала я этот ваш rc4, что бы сказать, как я его ненавижу".
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Компания Amazon представила собственную открытую реализацию ..."	–1 +/–
	Сообщение от Аноним (??) on 30-Июн-15, 21:55
	Чтобы высказывать свое мегаценное время, дорогой вантузятничек, неплохо бы хоть капельку в вопросе разбираться.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Компания Amazon представила собственную открытую реализацию ..."	–4 +/–
	Сообщение от Аноним (??) on 30-Июн-15, 22:25
	IE6 взлетит
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	15. "Компания Amazon представила собственную открытую реализацию ..."	+4 +/–
	Сообщение от Аноним (??) on 01-Июл-15, 03:13
	> 2015 год > IE6 Должны страдать. Нет, их должны сношать шваброй с особым цинизмом.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	20. "Компания Amazon представила собственную открытую реализацию ..."	–1 +/–
	Сообщение от A.Stahl (ok) on 01-Июл-15, 09:59
	Должны? Кто? Ты! Кто если не ты? Других нет. Поэтому хватай швабру и вперёд! Вперёд, к новым сношениям!
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	21. "Компания Amazon представила собственную открытую реализацию ..."	+2 +/–
	Сообщение от Дмитрий (??) on 01-Июл-15, 10:18
	> Должны? Кто? Ты! Кто если не ты? Других нет. Поэтому хватай швабру > и вперёд! Вперёд, к новым сношениям! SSLv3 уже не актуален совсем. если хотите до сих пор быть дырявым со всех сторон - велкам использовать IE6
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	29. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Аноним (??) on 01-Июл-15, 15:49
	> со всех сторон - велкам использовать IE6 В нем даже ютуб уже не работает, насколько я помню.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	31. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Анончег on 02-Июл-15, 01:56
	> применение методов безопасного программирования на Си с использованием обвязок, проверяющих соблюдение границ буферов для всех функций работы с памятью, сериализацией и строками Чего люди только не придумают лишь бы не использовать С++ плюшки в виде std::string и std::vector. С "обвязками" оно конечно на много порядков кошернее получается.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	32. "Компания Amazon представила собственную открытую..."	+/–
	Сообщение от arisu (ok) on 02-Июл-15, 03:58
	> Чего люди только не придумают лишь бы не использовать С++ плюшки в > виде std::string и std::vector. да что угодно. вообще что угодно — лишь бы говноцпп не трогать. хоть брэйнфак, хоть вайтспэйс.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

5. "Компания Amazon представила собственную открытую реализацию ..."	–1 +/–
Сообщение от Аноним (??) on 30-Июн-15, 21:33
DTLS - редко используемый? SSLv3 - тот, который недавно упразднили? Про RC4 вообще молчу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Crazy Alex (ok) on 30-Июн-15, 22:20
	И что тебе не нравится?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Аноним (??) on 30-Июн-15, 22:43
	Наверное, ему не нравится то, что если эти ненужности исключить из 6000 строк, там может остаться 5000. Это же 1% от кода опенссл!
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	12. "Компания Amazon представила собственную открытую реализацию ..."	–1 +/–
	Сообщение от Аноним (??) on 30-Июн-15, 23:11
	> Наверное, ему не нравится то, что если эти ненужности исключить из 6000 строк, там может остаться 5000. IETF только вчера SSL v3 депрекатнула. Ну оно хоть широкого распространения не получило, но другое то старье - во все широты интернета ... сделать вещь с ним несовместимую ... ну наверно можно и так, но нужность вещи сильно сузится. > Это же 1% от кода опенссл! Лучше пиписками, чего уж там :)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Компания Amazon представила собственную открытую реализацию ..."	+2 +/–
	Сообщение от Crazy Alex (ok) on 30-Июн-15, 23:48
	Ну так для нового софта лучше использовать то, что заведомо не дыряво. Это ж не drop-in replacement for OpenSSL, тут можно свои решения принимать.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Crazy Alex (ok) on 30-Июн-15, 23:49
	Я уж не говорю о том, что "отключено с дефолтными настройками" совсем не равно "не реализовано в принципе".
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	17. "Компания Amazon представила собственную открытую реализацию ..."	–2 +/–
	Сообщение от Аноним (??) on 01-Июл-15, 06:00
	оно "включается неявно" всем, нуждающимся в LI "службам" Америки. по той-же причине - они лоббируют(через свой минпромтрог и FCC, грубо весьма. по указке АНБ)и возврат опций "без шифрования" для VPN, SSH и прочего крипто для сетевых устройств(всех типов. от свичей и роутеров до телефонов, БС, включительно) "якобы не используещегося" ;)
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	24. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Crazy Alex (ok) on 01-Июл-15, 14:49
	Угу, в либе с открытым кодом. Вот берёт и само включается. Идите-ка к психиатру, паранойю лечить.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	33. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Аноним (??) on 02-Июл-15, 11:13
	в "продукте созданном с ее примнением", что внезапно не одно и то-же. даже если забыть что б-во из них(железные вещи имеются ввиду) открытого кода своей фирмвари - не выкладывают. даже если забыть что на уровне кремния у них - тоже дофига ворочается. это тольу у квалкома Rex/SeL4 внутрях чипов ворочается, у других - вещи "попроще", но сходной функциональности. технически реализовано тривиально - пакет n-ого содержания(шифрованные тоже бывают, но режко, чаще тривиальный паттерн. статический) приходит на устройство, после этого либо люк для удаленного "lawful intercept" открывается, либо просто "чудесно упрощается криптография", для сьема за пределами. про психиатров итп - вы не нервничайте так, пустое оно. если вы конечно не в АНБ работает. не нервничайте, нервы дороже, не восстанавливаются. даже человеку с вашим никнеймом - их надо бы беречь, пожалуй ?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	34. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Crazy Alex (ok) on 02-Июл-15, 22:30
	Да потому что задолбали уже вопильцы на тему "мы все умрём". Хочешь умереть - ну умирай, другим-то зачем мозг есть? "В продукте" - это ответственность создателей "продукта". А когда речь о библиотеке криптографии с открытым кодом - болтовня о злобных спецслужбах, у которых всё само включается - бред сивой кобылы. Как, кстати, и рассказки о "чудесно упрощающейся криптографии", реализованной софтверно, путём каких-либо манипуляций с железом, на котором она крутится, пусть даже там полноценная виртуалка. Да, прямо взяла и упростилась. Виртуалка само угадала, что за алгоритмы работают, вклинилось где надо (ещё и так, чтобы ничего не умерло к чертям)... Что какая-нибудь управлялка может торчать, способная по команде сбросить содержимое доступной памяти или вырубить устройство или аналогичные простые действия - есть шанс. И то - максимум в сетевухе (или в SOC). На ЦП как-то сложновато паттерн из сети нетронутым вывалить. Но большее - фантастика, простите. О БС и прочей сертифицированной хрени с закрытым кодом и официальным лицензированием  разговора нет - там всё понятно и частенько в стандартах прописано. Ну так на то и есть все эти туннели, шифрования и прочее. А насчёт нервов моих не беспокойтесь - их ещё ой как надолго хватит. Все АНБ с ФСБ переживу.
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	10. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Аноним (??) on 30-Июн-15, 22:55
	Да мне, в общем-то, пофиг. Просто удивляют решения авторов данного чуда.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	11. "Компания Amazon представила собственную открытую реализацию ..."	+3 +/–
	Сообщение от Аноним (??) on 30-Июн-15, 23:08
	Ну как же ... кто то взял и СДЕЛАЛ, а не потратил жЫсть на форумах ... возмутительно! :)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	23. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Mihail Zenkov (ok) on 01-Июл-15, 13:22
	SSLv3 is disabled by default in s2n and included only for backwards compatibility. A future change may remove support completely. https://github.com/awslabs/s2n/issues/76
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	25. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Crazy Alex (ok) on 01-Июл-15, 14:51
	Да тут товарищи, похоже, просто на ключевые слова реагируют. Не то что по ссылке пройти - новость прочесть уже не хотят.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	27. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Аноним (??) on 01-Июл-15, 15:03
	Новость прочитал, но зачем там SSLv3 не понятно. В браузерах уже давным-давно запретили, кому и для какой совместимости он может быть нужен в наше время - загадка.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	30. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от Crazy Alex (ok) on 01-Июл-15, 16:07
	А хрен его знает. Но отключённое по умолчанию и как отдельный модуль - не мешает. Удалять сразу то, что пару месяцев назад было живым стандартом - это всё же перебор.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	28. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от ага on 01-Июл-15, 15:44
	Как-бы не за ночь библиотеку сгенерировали, закрытый проект перевели на открытые рельсы, чего плохого то?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Компания Amazon представила собственную открытую реализацию ..."	+/–
Сообщение от Аноним (??) on 01-Июл-15, 04:07
SSL ? RC4? 3DES ? сразу ПОСЛЕ выхода обоих RFC по поводу ? с Амазон/АНБ все ясно. но почему только СBC и GCM ? остальное - не осилили ? а оно будет - бутылочным горлышком, иначе. не только по секьюрности, но и производительности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Компания Amazon представила собственную открытую реализацию ..."	+/–
Сообщение от jOKer (ok) on 01-Июл-15, 07:28
Плодятся эти пакеты как грибы. Но как доходит до дела (к примеру до управление жизнью сертификатов безопасности), так у всех сразу начинает болеть опа, и резко приходится вспоминать о тридцать три раза оплеванном OpenSSL. И никакие сокращения кода (вплоть до 0.00001%) не спасают, почему-то, от этого.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	26. "Компания Amazon представила собственную открытую реализацию ..."	+/–
	Сообщение от GrammarNarziss on 01-Июл-15, 14:56
	до управления
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема