The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск LibreSSL 2.8.0 "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск LibreSSL 2.8.0 "  +/
Сообщение от opennews (?), 09-Авг-18, 19:13 
Разработчики проекта OpenBSD представили (https://www.mail-archive.com/announce@openbsd.org/msg00...) выпуск переносимой редакции пакета LibreSSL 2.8.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.8.0 рассматривается как экспериментальный, в котором  развиваются возможности, которые войдут в состав OpenBSD 6.4.


Особенности LibreSSL 2.8.0:


-  Расширена документация и добавлены сведения об истории изменения API;
-  Добавлены дополнительные проверки параметра 'poisoning'  в различных функциях  X509_VERIFY_PARAM, блокирующие применение непроверенных сертификатов в случае проблем с их верификацией;
-  Устранена потенциальная утечка памяти при сбоях во время работы  ASN1_item_digest;
-  Устранён потенциальный крах при использовании функции asn1_item_combine_free;
-  Удалены неиспользуемые флаги SSL3_FLAGS_DELAY_CLIENT_FINISHED и
   SSL3_FLAGS_POP_BUFFER;
-  Упрощено использование и приближены к поведению OpenSSL вызовы ENGINE_finish и ENGINE_free, переписана документация по функциям ENGINE_*;
-  Добавлены аннотации констант для многих API из OpenSSL;

-  Устранены несущественные векторы для атак по сторонним каналам (разное время обработки) при работе  ecdsa_sign_setup и   dsa_sign_setup;

-  Документированы типовые ошибки использования  BN_FLG_CONSTTIME и constant-time в функциях BN_*, приводящие к проблемам с безопасностью;
-  Вызов BN_clear переведён на использование функции explicit_bzero;

-  Добавлены недостающие проверки границ буферов в c2i_ASN1_BIT_STRING;

-  Очередная порция кода переведена на использование подсистемы CBS, в том числе код для обмена ключами RSA.
-  Удалены остававшиеся наборы шифров на основе DES;

-  Осуществлено применение ложных заполняющих значений при генерации цифровых подписей DSA и ECDSA для снижения риска применения атак по сторонним каналам для  восстановления ключей;

-  Задействованы операции умножения в ECC с постоянным временем выполнения операции;

-  Пересмотрена реализация  RSASSA-PKCS1-v1_5 в контексте соответствия спецификации RFC 8017;

-  Проведена чистка функций BN_* по мотивам недавних изменений в OpenSSL.

URL: https://www.mail-archive.com/announce@openbsd.org/msg00...ж
Новость: https://www.opennet.dev/opennews/art.shtml?num=49105

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск LibreSSL 2.8.0 "  –3 +/
Сообщение от menangen (?), 09-Авг-18, 19:13 
Вот еще проект годный https://bearssl.org/#download-and-installation
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск LibreSSL 2.8.0 "  +2 +/
Сообщение от Аноним (2), 09-Авг-18, 19:15 
> Добавлены

Это не LibreSSL.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выпуск LibreSSL 2.8.0 "  +/
Сообщение от A.Stahl (ok), 09-Авг-18, 20:12 
И не Gnome
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выпуск LibreSSL 2.8.0 "  +/
Сообщение от пох (?), 10-Авг-18, 06:52 
все нормально, все путем, общий тренд не поменялся:
> Удалены остававшиеся наборы шифров на основе DES;

зашифрованное десять лет назад может теперь расшифровать только АНБ, ЦРУ и ФСБ, а ты свои собственные данные  - уже нет ;-)

а копипастить из openssl никто и не собирался прекращать.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Выпуск LibreSSL 2.8.0 "  +2 +/
Сообщение от Аноним (6), 10-Авг-18, 12:01 
Зашифрованное DES можно расшифровать даже без пароля, прости господи.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Выпуск LibreSSL 2.8.0 "  +/
Сообщение от anonimm (?), 12-Авг-18, 06:57 
Речь идёт об SSL, он используется для передачи данных по сети. Трафик десятилетней давности никто не хранит, а при создании нового сеанса клиент и сервер договариваются, какой блочный шифр использовать; если один из них не поддерживает DES, то договорятся использовать другой шифр.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Выпуск LibreSSL 2.8.0 "  +/
Сообщение от Andrey Mitrofanov (?), 13-Авг-18, 12:22 
>Трафик десятилетней давности никто не хранит,

Изложите методику проверки столь сильного утверждения.  Спасибо.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

5. "Выпуск LibreSSL 2.8.0 "  +2 +/
Сообщение от Аноним (5), 10-Авг-18, 08:54 
SSL_CTX_sess_set_get_cb сломали
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Выпуск LibreSSL 2.8.0 "  +/
Сообщение от PereresusNeVlezaetBuggy (ok), 14-Авг-18, 20:05 
Там всё не так однозначно (нет, я не сестра офицера, или как там было).

Ребята из OpenSSL в 1.1.0 решили поменять API, добавив где возможно const. Спустя некоторое время LibreSSL делает то же самое.

Поскольку релизы OpenSSL и LibreSSL не синхронизируются, сторонние приложения, поддерживающие и OpenSSL, и LibreSSL, вынуждены поддерживать оба варианта — для сборки и со старыми и с новыми версиями. Во многих проектах это делается примерно так: для LibreSSL определяется соответствующая на уровне API версия OpenSSL, и дальше внутри кода проекта идёт отталкивание от OPENSSL_VERSION.

И вот теперь, когда в LibreSSL внесли изменения, аналогичные OpenSSL 1.1, а конечная программа собирается с предположением, что API LibreSSL соответствует API OpenSSL 1.0, сборка ломается.

В общем, ребята из OpenSSL продолжают поражать глубиной и проработанностью своих идей (из лучших побуждений, разумеется), а страдают в итоге все остальные.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Выпуск LibreSSL 2.8.0 "  –1 +/
Сообщение от Держу в курсе (?), 10-Авг-18, 14:10 
пришло время обновлять войд
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру