Выпуск криптографической библиотеки LibreSSL 2.9.0

16.12.2018 10:10

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.9.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.9.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.5.

Особенности LibreSSL 2.9.0:

Реализован криптографический хэш SM3 (GB/T 32905-2016), стандартизированный для учреждений Китая;
Обеспечена автоматическая инициализация CRYPTO_LOCK. Для обеспечения совместимости добавлены заглушки для callback-вызовов, ранее применяемых для инициализации;
Для улучшения совместимости с OpenSSL добавлены дополнительные макросы OPENSSL_NO_*. Реализованы тесты совместимости с OpenSSL 1.0 и 1.1;
Упрощена обработка опций алгоритмов формирования цифровых подписей (sigalg). Упрощён алгоритм подписи при согласовании соединений (handshake signing);
Добавлена возможность применения алгоритма RSA PSS для подписей при согласовании соединений;
Добавлена функция bn_rand_interval(), которая задействована в коде, использующем ограниченный диапазон случайных значений;
Добавлена функциональность для раннего получения, согласования и применения секретов в соответствии с требованиями RFC8446;
Добавлена реализация конечного автомата для согласования соединений (handshake state machine), определённого в RFC8446;
Из libcrypto удалён код, связанный с поддержкой ASN.1, которая не используется с начала 2000-х годов;
Добавлены ассемблерные оптимизация для 32-разрядных систем ARM;
Усилена защита от атак по сторонним каналам в коде генерации цифровых подписей ECDSA;
В реализацию некоторых эллиптических кривых добавлены скоординированные шумы для противодействия уязвимости PortSmash в SMT/Hyper-Threading.

Одновременно подготовлены корректирующие выпуски LibreSSL 2.8.3 и 2.7.5, в которых решены проблемы при сборке с использованием cmake, добавлена дополнительная защита от уязвимости PortSmash, добавлена защита от атак по сторонним каналам при генерации ключей DSA и ECDSA, внесены исправления в реализацию вызова getentropy.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49789-libressl

Ключевые слова: libressl, crypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (10)

1.2, Аноним (2), 10:17, 16/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Когда TLSv1.3 запилят?

2.5, Аноним (5), 11:46, 16/12/2018 [^] [^^] [^^^] [ответить]	–1 +/–
И ГОСТ крипты тоже нету.

3.7, marios (ok), 13:18, 16/12/2018 [^] [^^] [^^^] [ответить]	+1 +/–
В смысле нету? Уже кучу версий как запилено.

3.11, Онаним (?), 22:25, 16/12/2018 [^] [^^] [^^^] [ответить]	–2 +/–
И не будет. И не надо.

2.8, Аноним (8), 14:45, 16/12/2018 [^] [^^] [^^^] [ответить]	+/–
А когда его на всех популярных сервисах/сайтах запилят?

2.9, Аноним (5), 14:56, 16/12/2018 [^] [^^] [^^^] [ответить]	+/–
draft-ietf-tls-esni-01 пусть вначале запилят от утечки Server Name Indication

1.4, анонимчик (?), 10:49, 16/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
в void пока не прилетело.

1.6, Аноним (5), 12:04, 16/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Одновременно подготовлены корректирующие выпуски LibreSSL 2.8.3 и 2.7.5, в которых решены проблемы при сборке с использованием cmake LibreSSL 2.8.3 и 2.7.5 не работают, только то проверял. Вернулся на 2.8.2

1.10, Аноним (10), 19:12, 16/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Найс вкомпиливаю LibreSSL в ruby и по тестам она на 5-10% быстрее на моем изкейсе. Про надёжность не скажу в коде особо не лазил.

2.12, АнАнним (?), 13:41, 17/12/2018 [^] [^^] [^^^] [ответить]	+/–
А на основе чего было сделано вообще утверждение?!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: