Выпуск криптографической библиотеки LibreSSL 2.9.1

22.04.2019 08:23

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.9.1, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.9.1 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.5.

Изменения в LibreSSL 2.9.1:

Добавлена хэш функция SM3 (китайский стандарт GB/T 32905-2016);
Добавлен блочный шифр SM4 (китайский стандарт GB/T 32907-2016);
Добавлены макросы OPENSSL_NO_* для улучшения совместимости с OpenSSL;
Частично портирован из OpenSSL метод EC_KEY_METHOD;
Реализованы отсутствующие вызовы API OpenSSL 1.1;
Добавлена поддержка XChaCha20 и XChaCha20-Poly1305;
Добавлена поддержка передачи ключей AES через интерфейс EVP;
Обеспечена автоматическая инициализация CRYPTO_LOCK;
Для усиления совместимости с OpenSSL в утилиту openssl добавлена поддержка схемы хэширования ключей pbkdf2, по умолчанию в командах enc , crl, x509 и dgst задействован метод хэширования sha256;
Добавлены тесты для проверки переносимости между LibreSSL и OpenSSL 1.0/1.1;
Добавлены дополнительные тесты Wycheproof;
Добавлена возможность использования алгоритма RSA PSS для цифровых подписей при согласовании соединений (handshake);
Добавлена реализация конечного автомата для обработки handshake, определённого в RFC-8446;
Из libcrypto удалён связанный с ASN.1 устаревший код, не используемый уже около 20 лет;
Добавлены ассемблерные оптимизации для 32-разрядных систем ARM и Mingw-w64;
Улучшена совместимость с платформой Android.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/50552-libressl

Ключевые слова: libressl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (23)

1.1, Аноним (1), 09:39, 22/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
TLS 1.3 когда запилят?

2.3, Ivan_83 (ok), 10:58, 22/04/2019 [^] [^^] [^^^] [ответить]	+/–
+1

2.4, Аноним (4), 11:06, 22/04/2019 [^] [^^] [^^^] [ответить]	+/–
В 6.6 точно будет. Даже у OpenSSL 1.0.2 поддержка до конца этого года, сейчас идет бурная деятельность по обеспечению работы всего чего можно с TLS 1.3.

3.8, Ivan_83 (ok), 18:09, 22/04/2019 [^] [^^] [^^^] [ответить]	+/–
Это война между пейсателями софта для халявного пиару. Конечным юзерам это всё пофик, даже если это админы каких то сайтегов.

4.16, пох (?), 22:17, 22/04/2019 [^] [^^] [^^^] [ответить]

–3 +/–

это пока гугель тебя не зобанил за недостаточно модную версию tls, и сертификат pci/dss не отобрали за то же самое.

(уязвимости, никем не верифицированные алгоритмы, держащиеся на репутации пары странных фриков? Не, это пофигу, сертификаты дают не за это)

5.17, Ivan_83 (ok), 14:33, 23/04/2019 [^] [^^] [^^^] [ответить]	+/–
У меня на моём сайтиге tls нет и в планах нет, похер на поисковики, мне трафик не нужен. Если ты про бан клиента=браузера, то в целом тоже пофик, есть другие поисковики, но у меня и свехая мазилла и хромиум есть.

6.18, пох (?), 18:27, 23/04/2019 [^] [^^] [^^^] [ответить]

+/–

> У меня на моём сайтиге tls нет и в планах нет, похер
> на поисковики, мне трафик не нужен.

а сайт тогда зачем?

люди ведь тебе тоже не нужны, получается, не только траффик - раз тебя невозможно будет найти.

7.19, Ivan_83 (ok), 14:37, 24/04/2019 [^] [^^] [^^^] [ответить]	+/–
Чтобы было куда выкладывать то что мне нужно пошарить, и потом можно легко давать ссылки на форумы и самому не терять.

8.21, пох (?), 20:33, 24/04/2019 [^] [^^] [^^^] [ответить]	–1 +/–
ну то есть нету у тебя, получается, сайта - сайт это все же - какую-то информаци... текст свёрнут, показать

9.22, Ivan_83 (ok), 00:31, 25/04/2019 [^] [^^] [^^^] [ответить]	+1 +/–
У меня там не только файлопомойка но и вики В остальном да, про цифровую изоляц... текст свёрнут, показать

1.2, iCat (ok), 09:57, 22/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Но-о-овенькая... Что поломали в этой?

1.5, Аноним (5), 13:35, 22/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Без tls1.3 нахрен не нужно. Я вот уже поддержку 1.1 и 1.2 отключил.

2.6, Аноним (6), 17:45, 22/04/2019 [^] [^^] [^^^] [ответить]	–4 +/–
TlS 1.3 недавно ломали, славно что его все еще нету.

3.13, Аноним (13), 18:29, 22/04/2019 [^] [^^] [^^^] [ответить]	+/–
Вы в этом не разбираетесь, как и ссылкодаватели ниже?

4.14, Аноним (14), 18:37, 22/04/2019 [^] [^^] [^^^] [ответить]	+/–
https://eprint.iacr.org/2019/347

5.15, Аноним (13), 19:02, 22/04/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Во-первых, PSK не специфичен для TLS1.3, там об этом явно написано. Во-вторых, PSK используется в довольно редких случаях, примеры там тоже есть. Обычного HTTPS это не касается никак. Вывод - очередной мамкин криптограф услышал звон = TLS1.3 ломали.

2.9, Аноним (14), 18:18, 22/04/2019 [^] [^^] [^^^] [ответить]	+/–
https://eprint.iacr.org/2018/1173.pdf

3.12, Аноним (13), 18:29, 22/04/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Там вообще-то пишут что 1.3 не подвержен описанным атакам, и провести их возможно только через downgrade. Поэтому собственно и нужно выкидывать поддержку 1.1 и 1.2.

2.10, Аноним (14), 18:18, 22/04/2019 [^] [^^] [^^^] [ответить]	+/–
http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf

3.11, Аноним (13), 18:27, 22/04/2019 [^] [^^] [^^^] [ответить]	+/–
Ни слова о чём-то 1.3 специфичном.

1.7, Аноним (7), 17:59, 22/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Бздунам уважуха! Нужно!

1.20, Аноним (20), 15:48, 24/04/2019 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

У меня два вопроса:

1. tor собрать с ней можно?

2. А ядро linux собрать с хешем для модулей sha512?

2.23, Аноним (1), 20:19, 26/04/2019 [^] [^^] [^^^] [ответить]	+/–
Tor с LibreSSL прекрасно собирается в той же генте. В ядре вроде какая-то своя реализация.

Добавить комментарий

Текст: