The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от opennews (ok) on 13-Окт-14, 10:27 
Разработчики проекта OpenBSD представили (http://marc.info/?l=openbsd-tech&m=141313546902405&w=2) выпуск переносимой редакции пакета LibreSSL 2.1.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Из особенностей LibreSSL можно отметить ориентацию на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск  включает (http://ftp.openbsd.org/pub/OpenBSD/LibreSSL/) в себя изменения, подготовленные после заморозки кодовой базы нативной редакции LibreSSL для OpenBSD, которая будет представлена 1 ноября в составе OpenBSD 5.6. Наработки LibreSSL 2.1 войдут в состав ветки OpenBSD 5.7.


Из улучшений (http://opensslrampage.org/) можно отметить:


-  добавление функции SSL_CTX_use_certificate_chain()  для загрузки данных сертификата из памяти, а не из файла;
-  устранение утечек памяти;
-  замена использования strdup()  на strndup();
-  рефакторинг работы с расширениями  ECC;
-  добавлен шифр CHACHA20 для симметричного шифрования;
-  переработан код для разбора опций;
-  добавлена опция для упорядоченной обработки флагов;
-  добавлена опция для обработки входных и выходных форматов;
-  обеспечена поддержка в Linux системного вызова getrandom(), появившегося в ядре 3.17;

Выпуск LibreSSL 2.1.0 не включает в себя реализацию нового API ressl, который пока  разрабатывается отдельно (https://github.com/libressl-portable/openbsd/tree/master/src...). В рамках API ressl развивается (http://www.opennet.dev/opennews/art.shtml?num=40710) упрощённая замена API OpenSSL, которая предоставляет высокоуровневый интерфейс для организации защищённых соединений,   абстрагированный от внутренностей и скрывающий низкоуровневые манипуляции с сертификатами X.509 или ASN.1. Новый API предоставляет встроенные механизмы для верификация имени хоста, который позволяет убедиться, что имя хоста, к которому осуществляется соединение, соответствует имени, указанному в сертификате. При применении API OpenSSL данное сопоставление должно быть выполнено разработчиками приложения, которые часто игнорируют данную проверку или забывают её добавить.


URL: http://undeadly.org/cgi?action=article&sid=20141012180624
Новость: http://www.opennet.dev/opennews/art.shtml?num=40807

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +4 +/
Сообщение от Xaionaro email(ok) on 13-Окт-14, 10:27 
/me уже готов к тонне минусов, ибо не знаком со внутренностями всяких libssl, однако может стоит разбить этот пакет на несколько. Я так понял, сейчас проблема в том, что пакет стал слишком большим, и сопровождать его на нужном уровне качества становится маловозможным. Дак может пойти по принципу UNIX-way, а вместо делания комбайнов? Сделать отдельные libecdsa, librsa, libgost и т.п. Потом как-нибудь всё это связать с помощью libssl, который в свою очередь будет использовать эти libкрипты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору
Часть нити удалена модератором

12. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от llolik (ok) on 13-Окт-14, 11:19 
> И стало интересно, почему не делают как я описал выше.

Я, конечно, не изучал вопрос досканально, но могу предположить, что многие части так завязаны друг на друга, что разделить их не проще, чем создать новую реализацию с нуля.

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  –5 +/
Сообщение от Apple on 13-Окт-14, 10:40 
А давно Unix way стал означат раздробить всё на сущности?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +8 +/
Сообщение от Xasd (ok) on 13-Окт-14, 10:50 
unix way -- это значит -- привязать к systemd!

[шутка-юмор:).. с намёком на то, что этот термин понимает кто как хочет]

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +2 +/
Сообщение от Xaionaro email(ok) on 13-Окт-14, 10:53 
> А давно Unix way стал означат раздробить всё на сущности?

«Пишите программы, которые делают что-то одно и делают это хорошо.»
«Пишите программы, которые бы работали вместе.»

Тут вы можете найти многократное упоминание:
https://ru.wikipedia.org/wiki/%D0%A4%D0%...

А вообще, там есть ссылки на первоисточники.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +2 +/
Сообщение от Apple on 13-Окт-14, 11:15 
Верно, но выделение блочных шифров в отдельную сущность явно не следует этой идеологии.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Xaionaro email(ok) on 13-Окт-14, 11:17 
Почему?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Andrey Mitrofanov on 13-Окт-14, 11:21 
> Почему?

Потому что там _ни _при _каком делении или дроблении *интерфейсы* не станут проще или прозрачнее. //Наполовину пуст, да.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Xaionaro email(ok) on 13-Окт-14, 12:51 
>> Почему?
> Потому что там _ни _при _каком делении или дроблении *интерфейсы* не станут
> проще или прозрачнее. //Наполовину пуст, да.

Не соглашусь, хоть и это сейчас не важно.

А важно, что я говорю не про то, чтобы интерфейсы стали проще и прозрачнее. А про то, чтобы разбить программу на несколько, чтобы сообщество эффективнее взаимодействовало. Сейчас же будут форки openssl, в которых будут делать полезный код, но он будет сложно переносим между проектами (включая merge в оригинал). В результате вместо того, чтобы совместно пилить качественный продукт состоящий из хорошо работающих компонентов, каждый пилит свой bundle.

Очень грубо говоря:
Если разбить пакет на несколько, то LibreSSL-вцы бы просто пилили ядро (libssl) и минимальный набор базовых lib (libостальное). А OpenSSL-вцы смогли бы использовать это качественное и вылизанное ядро с базовыми lib-ами уже при добавлении поддержки дополнительных алгоритмов в виде отдельных lib.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Аноним (??) on 13-Окт-14, 20:21 
>[оверквотинг удален]
> и прозрачнее. А про то, чтобы разбить программу на несколько, чтобы
> сообщество эффективнее взаимодействовало. Сейчас же будут форки openssl, в которых будут
> делать полезный код, но он будет сложно переносим между проектами (включая
> merge в оригинал). В результате вместо того, чтобы совместно пилить качественный
> продукт состоящий из хорошо работающих компонентов, каждый пилит свой bundle.
> Очень грубо говоря:
> Если разбить пакет на несколько, то LibreSSL-вцы бы просто пилили ядро (libssl)
> и минимальный набор базовых lib (libостальное). А OpenSSL-вцы смогли бы использовать
> это качественное и вылизанное ядро с базовыми lib-ами уже при добавлении
> поддержки дополнительных алгоритмов в виде отдельных lib.

Проблема в том, что у OpenSSL и LibreSSL (равно как и BoringSSL) разные подходны к разработке. Но зато кодом и идеями последние два проекта потихоньку обмениваются, так что не всё так плохо.

Что же до разделения на отдельные сущности - в общем-то и так есть libssl и libcrypto, готовится ещё libressl. Это в OpenSSL как раз первые две либы умудрились завязать друг на друга взаимно. :-\ Правда, может, в последних версиях это всё же исправили - хз, свежего линя под руками нет... В общем, разделение определённое уже есть, а полностью его провести - увы, мешает понятие "обратная совместимость". API (заметно) ломать негоже, иначе такой форк никогда не станет дефолтным ни в одной ОС.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

7. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +1 +/
Сообщение от Журналовращатель on 13-Окт-14, 11:01 
> стал означат

изначально

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +1 +/
Сообщение от xPhoenix email(ok) on 13-Окт-14, 11:46 
Ну почему не делят? Делят. Например, в Debian функционал для pkcs12 вынесен в отдельные библиотеки. Потом просто в конфиге OpenSSL прописываешь, что нужно использовать, и всё. Не нужные какие-то протоколы - правь /etc/ssl/openssl.conf.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Аноним (??) on 14-Окт-14, 05:31 
> /me уже готов к тонне минусов, ибо не знаком со внутренностями всяких libssl

Тебе повезло. Ибо знакомиться с этой фeкальной массой удовольствие ниже среднего.

> однако может стоит разбить этот пакет на несколько.

Лучше на SSL/TLS просто забить. For teh greater good, ну и вообще, если безопасность хоть на йот интересует.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от ASIC (ok) on 13-Окт-14, 11:03 
если бы сейчас кто нибуть еще написал и мануал как прикруить его в существующие enterprise  на базе  spring, jboss, tomcat etc. то скорость разпространения этого пакета как минимум  удвойтся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от xPhoenix email(ok) on 13-Окт-14, 11:47 
> если бы сейчас кто нибуть еще написал и мануал как прикруить его
> в существующие enterprise  на базе  spring, jboss, tomcat etc.
> то скорость разпространения этого пакета как минимум  удвойтся.

Сказано же, что будет отдельная либа, которая будет выдавать себя за OpenSSL, т.е. никакое ПО перенастраивать не надо будет, оно и не заметит подмены (если не будет использовать недокументированные возможности и грязные хаки).

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от ASIC (ok) on 13-Окт-14, 12:35 
Упс, это я пропустил, спасибо за подсказку. Подмена не очень хорошая идея на мой взгляд,  вот то что хочется это не подмена а настоящая замена учитывая того что она уже написана или хотя бы врапер, допустим вы разрабатываете что то вроде Spring Boot + Spring Security + Tomcat + hibernate + postgresql  или аналог из Jboss для энерпраиз,  все это один такой "маленький " executable пакетик, так вот если вы берете и ставите пакетик на чужую машину он блин пользуется ssl'ем с чужой машины а так  пакетик был бы полностью независим.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +1 +/
Сообщение от абыр email(ok) on 13-Окт-14, 12:42 
У меня от вашего текста глаза вытекли.
Вам мешочек запятых с точками отсыпать ?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от ASIC (ok) on 13-Окт-14, 13:26 
не поможет, поверьте,я побывал  :)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Аноним (??) on 14-Окт-14, 05:32 
> не поможет, поверьте,я побывал  :)

А надо чтобы вас побывали за такой текст. Может тогда дойдет.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от ASIC (ok) on 14-Окт-14, 11:03 
столько агрессий, и все "по" теме , к тому же и это от аноним.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

22. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Аноним (??) on 13-Окт-14, 13:15 
Никак, джава использует libnss
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +1 +/
Сообщение от YetAnotherOnanym (ok) on 13-Окт-14, 12:23 
> с удалением излишней функциональности

"Не удалось установить защищённое соединение, т.к. удалённый хост не поддерживает..."

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Аноним (??) on 14-Окт-14, 05:33 
> "Не удалось установить защищённое соединение, т.к. удалённый хост не поддерживает..."

А зачем тебе "защищенное" соединение с 40-битным DES, который Вася на GPU за полчаса распатронит? От чего оно тебя "защитит"? :)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру