Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск LibreSSL 2.8.0 "	+/–
Сообщение от opennews (?), 09-Авг-18, 19:13
Разработчики проекта OpenBSD представили (https://www.mail-archive.com/announce@openbsd.org/msg00...) выпуск переносимой редакции пакета LibreSSL 2.8.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.8.0 рассматривается как экспериментальный, в котором  развиваются возможности, которые войдут в состав OpenBSD 6.4. Особенности LibreSSL 2.8.0: -  Расширена документация и добавлены сведения об истории изменения API; -  Добавлены дополнительные проверки параметра 'poisoning'  в различных функциях  X509_VERIFY_PARAM, блокирующие применение непроверенных сертификатов в случае проблем с их верификацией; -  Устранена потенциальная утечка памяти при сбоях во время работы  ASN1_item_digest; -  Устранён потенциальный крах при использовании функции asn1_item_combine_free; -  Удалены неиспользуемые флаги SSL3_FLAGS_DELAY_CLIENT_FINISHED и    SSL3_FLAGS_POP_BUFFER; -  Упрощено использование и приближены к поведению OpenSSL вызовы ENGINE_finish и ENGINE_free, переписана документация по функциям ENGINE_*; -  Добавлены аннотации констант для многих API из OpenSSL; -  Устранены несущественные векторы для атак по сторонним каналам (разное время обработки) при работе  ecdsa_sign_setup и   dsa_sign_setup; -  Документированы типовые ошибки использования  BN_FLG_CONSTTIME и constant-time в функциях BN_*, приводящие к проблемам с безопасностью; -  Вызов BN_clear переведён на использование функции explicit_bzero; -  Добавлены недостающие проверки границ буферов в c2i_ASN1_BIT_STRING; -  Очередная порция кода переведена на использование подсистемы CBS, в том числе код для обмена ключами RSA. -  Удалены остававшиеся наборы шифров на основе DES; -  Осуществлено применение ложных заполняющих значений при генерации цифровых подписей DSA и ECDSA для снижения риска применения атак по сторонним каналам для  восстановления ключей; -  Задействованы операции умножения в ECC с постоянным временем выполнения операции; -  Пересмотрена реализация  RSASSA-PKCS1-v1_5 в контексте соответствия спецификации RFC 8017; -  Проведена чистка функций BN_* по мотивам недавних изменений в OpenSSL. URL: https://www.mail-archive.com/announce@openbsd.org/msg00...ж Новость: https://www.opennet.ru/opennews/art.shtml?num=49105
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Выпуск LibreSSL 2.8.0 "	–3 +/–
Сообщение от menangen (?), 09-Авг-18, 19:13
Вот еще проект годный https://bearssl.org/#download-and-installation
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск LibreSSL 2.8.0 "	+2 +/–
Сообщение от Аноним (2), 09-Авг-18, 19:15
> Добавлены Это не LibreSSL.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Выпуск LibreSSL 2.8.0 "	+/–
	Сообщение от A.Stahl (ok), 09-Авг-18, 20:12
	И не Gnome
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Выпуск LibreSSL 2.8.0 "	+/–
	Сообщение от пох (?), 10-Авг-18, 06:52
	все нормально, все путем, общий тренд не поменялся: > Удалены остававшиеся наборы шифров на основе DES; зашифрованное десять лет назад может теперь расшифровать только АНБ, ЦРУ и ФСБ, а ты свои собственные данные  - уже нет ;-) а копипастить из openssl никто и не собирался прекращать.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Выпуск LibreSSL 2.8.0 "	+2 +/–
	Сообщение от Аноним (6), 10-Авг-18, 12:01
	Зашифрованное DES можно расшифровать даже без пароля, прости господи.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Выпуск LibreSSL 2.8.0 "	+/–
	Сообщение от anonimm (?), 12-Авг-18, 06:57
	Речь идёт об SSL, он используется для передачи данных по сети. Трафик десятилетней давности никто не хранит, а при создании нового сеанса клиент и сервер договариваются, какой блочный шифр использовать; если один из них не поддерживает DES, то договорятся использовать другой шифр.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Выпуск LibreSSL 2.8.0 "	+/–
	Сообщение от Andrey Mitrofanov (?), 13-Авг-18, 12:22
	>Трафик десятилетней давности никто не хранит, Изложите методику проверки столь сильного утверждения.  Спасибо.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

5. "Выпуск LibreSSL 2.8.0 "	+2 +/–
Сообщение от Аноним (5), 10-Авг-18, 08:54
SSL_CTX_sess_set_get_cb сломали
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Выпуск LibreSSL 2.8.0 "	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 14-Авг-18, 20:05
	Там всё не так однозначно (нет, я не сестра офицера, или как там было). Ребята из OpenSSL в 1.1.0 решили поменять API, добавив где возможно const. Спустя некоторое время LibreSSL делает то же самое. Поскольку релизы OpenSSL и LibreSSL не синхронизируются, сторонние приложения, поддерживающие и OpenSSL, и LibreSSL, вынуждены поддерживать оба варианта — для сборки и со старыми и с новыми версиями. Во многих проектах это делается примерно так: для LibreSSL определяется соответствующая на уровне API версия OpenSSL, и дальше внутри кода проекта идёт отталкивание от OPENSSL_VERSION. И вот теперь, когда в LibreSSL внесли изменения, аналогичные OpenSSL 1.1, а конечная программа собирается с предположением, что API LibreSSL соответствует API OpenSSL 1.0, сборка ломается. В общем, ребята из OpenSSL продолжают поражать глубиной и проработанностью своих идей (из лучших побуждений, разумеется), а страдают в итоге все остальные.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Выпуск LibreSSL 2.8.0 "	–1 +/–
Сообщение от Держу в курсе (?), 10-Авг-18, 14:10
пришло время обновлять войд
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема