Выпуск криптографической библиотеки LibreSSL 3.6.0

08.10.2022 16:33

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 3.6.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 3.6.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 7.2.

Особенности LibreSSL 3.6.0:

Из OpenSSL портирован API EVP для функции формирования ключа HKDF (HMAC Key Derivation Function).
Добавлен API для установки и получения уровней безопасности (SSL_get_security_level(), SSL_set_security_level()).
Добавлена экспериментальная поддержка API для протокола QUIC, изначально реализованная в BoringSSL.
Добавлена начальная поддержка верификации TS ESSCertIDv2.
Задействован тест простоты Бейли — Померанца — Селфриджа — Уогстаффа (Baillie-PSW) вместо теста Миллера-Рабина.
Проведена значительная внутренняя переработка. Убраны ресурсоёмкие проверки RFC 3779 при верификации сертификатов. Переделан декодировщик и парсер времени для ASN.1. Переписана реализация ASN1_STRING_to_UTF8().
В утилиту openssl добавлена опция -"s" для показа только шифров, поддерживаемых указанным протоколом.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57889-libressl

Ключевые слова: libressl, tls

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (79)

1.1, Аноним (1), 16:44, 08/10/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
не понимаю зачем такой зоопарк криптобиблиотек что дублируют друг друга? OpenSSL, LibreSSL, WolfSSL

2.4, Аноним (4), 16:54, 08/10/2022 [^] [^^] [^^^] [ответить]	+7 +/–
Чтобы нельзя было в один прекрасный момент всё сломать по велению одного единственного руководителя проекта.

3.43, Аноним (-), 20:52, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
> OpenBSD > LibreSSL Где ещё есть сабж? В каких ещё ОС, окромя OpenBSD, в наличии LibreSSL?

4.45, InuYasha (??), 21:17, 08/10/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Руки чешутся написать "LibreBSD" :)

5.92, J (??), 19:30, 10/10/2022 [^] [^^] [^^^] [ответить]	+/–
Two Cuba Libre shots please for these two guys. Шёл 2017-й, светило солнце, играла музыка.

4.54, iZEN (ok), 21:53, 08/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
LibreSSL есть в портах FreeBSD. Если хотите применять эту библиотеку вместо OpenSSL, то необходимо в /etc/make.conf добавить строчку: DEFAULT_VERSIONS+=ssl=libressl и пересобрать из портов все установленные пакеты, которые имеют в зависимостях OpenSSL. Та же ситуация с любой другой криптографической библиотекой, заменяющей алгоритмы работы openssl.

5.69, name (??), 11:04, 09/10/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Это кстати является рекомендуемым.

6.90, Аноним (90), 18:41, 10/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Что именно? Менять системный openssl на портовый, а ещё хуже на несовместимые поделки типа libressl ни в коем случае НЕ является рекомендуемым. Напротив, официально не поддерживается и гарантировано ломает массу портов.

4.70, КО (?), 12:38, 09/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Куда впихнёшь там и будет.

4.75, Placeholder (ok), 18:20, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
Генту на ней можно собрать

5.77, Аноним (77), 18:30, 09/10/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Вроде уже нет, гентушики сказали, что не хотят с этим дерьмищем возиться больше. Обычно выбор из openssl/gnutls, у curl есть ещё nss/mbedtls. Но либа должна явно поддерживаться в коде, так просто на другую не заменишь никак. Хотя я подсовывал какой-то там игрушке (криворукие обезьяны) симлинк на curl, собранный с openssl вместо gnutls, а она явно хотела линковаться с curl на gnutls. Ничего, работала.

4.96, BSDhost (?), 12:37, 11/10/2022 [^] [^^] [^^^] [ответить]

+/–

Например, в MacOS — лучшей десктопной ОС планеты. LibreSSL уже много лет — основная крипто-библиотека Apple.

Catalina 10.15 выдаёт:

ssh -V
OpenSSH_8.1p1, LibreSSL 2.7.3

Уже 5 лет разбивка системного диска Мака при установке повторяет OpenBSD. Правда, у Мака пока только 5 системных разделов, против 10 у OpenBSD.

Юноша, вы хоть что-нибудь в своей жизни щупали, окромя Shitdows?

3.64, Аноним (64), 02:04, 09/10/2022 [^] [^^] [^^^] [ответить]	–1 +/–
линукс же угробили, раст вон завезли

4.78, Chlen22sm (?), 22:23, 09/10/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Радуйся что не хаскель и ерланг

5.82, 1 (??), 10:12, 10/10/2022 [^] [^^] [^^^] [ответить]	+/–
А что не так с ерлангом ?

5.95, фф (?), 10:50, 11/10/2022 [^] [^^] [^^^] [ответить]	+/–
а что не так с хаскелем?

2.5, Аноним (5), 16:57, 08/10/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Ну это примерно как "не понимаю зачем такой зоопарк Linux, MacOS, Windows". У каждого свой взгляд на вещи.

2.8, Аноним (8), 17:07, 08/10/2022 [^] [^^] [^^^] [ответить]

+3 +/–

Команда OpenBSD решила, что их openssl протроянили и форкнула LibreSSL.

А другие крыптолибы изначально не верили сторонним реализациям

Был у меня один начальник, взял да свою реализацию TCP/IP написал и либы для шифрования. И использовал только их..

3.24, zhmur (?), 18:35, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Ничего не знаем, ничего не читаем... Но обязательно высираем своё мнение. Вот преза от проекта: https://www.openbsd.org/papers/bsdcan14-libressl/

4.29, Аноним (8), 18:48, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Здесь же лет ~10 лет назад было что в openssl втроянили сторонние разрабы модуль heartbit - дырень. Вот разрабы опенка и форкнула LibreSSL. Хорошо, что я собирал openssl без этого heartbit все здесь суетились, обновлялись переходили, а я остался на старых openssl без heartbit.

5.30, Аноним (30), 18:52, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
У OpenBSD логика простая - "у нас не будут реализованы всякие редкоиспользуемые фичи, которые за счёт своей маловостребовательности могут содержать больше уязвимостей". Банальное сокращение поверхности атаки.

6.37, Аноним (8), 19:25, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
> Убраны ресурсоёмкие проверки RFC 3779 при верификации сертификатов. Я за простоту кода и быстроту работы, но проверки сертов может надо оставить?!!

7.38, Аноним (-), 19:48, 08/10/2022 [^] [^^] [^^^] [ответить]	–2 +/–
А зачем не модно же.

2.72, Аноним (72), 13:06, 09/10/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Правильно! Даешь единственную модель седана, внедорожника, кроссовера и т.п. Разнообразие и возможность выбора - зло!

2.76, ip1982 (ok), 18:23, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
Ты ещё «чистые» реализации на Расте, Гоу, Хаскеле не посчитал.

1.2, Аноним (-), 16:51, 08/10/2022 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
> более высокого уровня безопасности Как это возможно, если оно написано на Си?

2.3, Аноним (4), 16:53, 08/10/2022 [^] [^^] [^^^] [ответить]	+8 +/–
Безопасность не зависит от языка, добро пожаловать в реальный мир.

3.7, Аноним (8), 17:03, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
В реальном мире безопасность, надежность, вериицируемость сильно зависит от выбора языка. Вот к примеру Rust, выбирать не стоит, он течет, не надежен, и не верифицируемый.

4.25, zhmur (?), 18:38, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Вам в проект https://www.fstar-lang.org/, а если быть более точным, то в https://project-everest.github.io/ . Или вы больше теоретик?

5.31, Аноним (8), 18:57, 08/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Интересует SPARK: https://www.adacore.com/about-spark

4.49, Аноним (49), 21:39, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
No comments: https://photos5.appleinsider.com/gallery/50706-99933-web-browser-security-2022

5.50, Аноним (49), 21:44, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
И это при том что процессы еще не все разделены, когда это все доделают уязвимостей будет еще меньше

6.51, Аноним (49), 21:46, 08/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
хватит ныть, я же знаю что вы из мгу. там же больше ничему не учили

5.61, Аноним (61), 01:37, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
По чистой случайности, этот график так же отражает популярность браузеров.

5.65, Аноним (65), 06:41, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
Т.е. этим графиком вы хотите сказать, что в Edge и Opera совсем не исправляют уязвимости? Движок с Chrome там один и уязвимости те же имеются.

4.53, Аноним (49), 21:47, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
хватит ныть, я же знаю что вы из мгу. там же больше ничему не учили

3.9, Аноним (9), 17:08, 08/10/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Если бы это было так, мир не знал бы такого языка как Ada, а программы до сих пор писались бы на ассемблере (если не хуже). Добро пожаловать в реальный мир.

4.11, Аноним (8), 17:19, 08/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
> мир не знал бы такого языка как Ada Если бы в DoD, 50 лет на зад, у когто-то не здали нервы разбираться с глючным кодом на 450 РАЗНЫХ языках программирования и DoD не влило бы лярды зелени, то мир не знал бы такого языка как Ada.

3.17, Аноним (17), 17:44, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Вообще-то зависит, добро пожаловать в реальный мир.

4.63, Аноним (64), 02:03, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
вообще-то не зависит. добро пожаловать в реальный мир

5.71, Аноним (17), 12:42, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
Соболезную.

3.55, Аноним (55), 00:04, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
Да, ведь полно безопасных библиотек на ассемблере.

3.91, Аноним (90), 18:43, 10/10/2022 [^] [^^] [^^^] [ответить]	+/–
Правильно, от языка не зависит. Только С языком программирования в современном мире не считается - устаревший артефакт из прошлого века не только позволяющий, но и способствующий целам группам ошибок в коде.

2.6, Аноним (8), 17:00, 08/10/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Программы на C могут давать гарантии корректности работы с памятью и гарантии безопасности за счет уменьшения надежности их работы. А вот одновременно и безопасность и надежность много на C дать не могут.

3.10, Аноним (9), 17:10, 08/10/2022 [^] [^^] [^^^] [ответить]	+5 +/–
Звучит как бред сумасшедшего.

4.12, Аноним (8), 17:25, 08/10/2022 [^] [^^] [^^^] [ответить]

+/–

В бреду мнимой безопасности находятся пользователи Rust.

Чтобы понять, что такое лес, надо не листики и травинки рассматривать, а посмотреть на него с высоты птичьего полета.

Вы не понимаете как, и за счет чего, работующая C-шная прога получает гарантии корректности работы с памятью и гарантии безопасности.

5.14, fumanchez (ok), 17:32, 08/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
а может ты?

6.15, Аноним (8), 17:38, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Компилятор для безопасности конечно очень важен, но гораздо важнее контроль за корректностью работы с памятью и безопасностью от ядра ОС и процессора. Сразу для всех работающих прог, даже для тех кто собран Rust, даже для их участков unsave.

7.23, fumanchez (ok), 18:30, 08/10/2022 [^] [^^] [^^^] [ответить]	+2 +/–
да, я тоже слышал об этом, только странно, зачем им несохраняемые участки?

8.32, Аноним (8), 19:00, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Unsafe ... текст свёрнут, показать

8.34, Аноним (8), 19:11, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Опечатка помогла понять логику растоманов Принятая в ИТ терминология Safe - эт... текст свёрнут, показать

9.44, Аноним (44), 21:15, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Хорошо что аноним может безперебойно общаться сам с собой... текст свёрнут, показать

9.73, Аноним (-), 13:48, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
Уроки уже Зделал, о В 822 о 822 е 822 н 822 822 С 822 у 822 п 822 р 8... текст свёрнут, показать

4.18, Аноним (17), 17:45, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Анонима забыли спросить.

3.13, Аноним (8), 17:31, 08/10/2022 [^] [^^] [^^^] [ответить]

+/–

> одновременно и безопасность и надежность много на C дать не могут.

Fix:

одновременно, и безопасность, и надежность ПРОГИ на C дать не могут.

4.21, Аноним (21), 18:22, 08/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
В чём проявляется протиаоречие между безопасностью и надёжностью?

5.22, Аноним (8), 18:29, 08/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Противоречий нет, это просто разные вещи.

5.26, Аноним (8), 18:39, 08/10/2022 [^] [^^] [^^^] [ответить]

+/–

Прочти о безопасности в ОС на C за счет проактивных технологий.

Заметь разницу в английском между secure-безопамно и safe-надежно.

Практичные технологии дают security за счет safety.

6.27, Аноним (8), 18:40, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Fix: Проактивные технологии дают security за счет safety.

6.33, Аноним (9), 19:07, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
Софистика как она есть.

7.35, Аноним (8), 19:13, 08/10/2022 [^] [^^] [^^^] [ответить]	–1 +/–
https://www.opennet.ru/openforum/vsluhforumID3/128622.html#34

4.85, Аноним (85), 15:19, 10/10/2022 [^] [^^] [^^^] [ответить]	+/–
одновременно, и безопасность, и надежность ПРОГИ на rust дать не могут.

1.16, Аноним (16), 17:42, 08/10/2022 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Вопрос от неопытного пользователя: есть такой банковский сайт Челябинвестбанка: chelinvest.ru Он успешно работает под FreeBSD, но у меня не открывается под NetBSD и, возможно, под OpenBSD. Могли бы пользователи Опеннета проверить доступность сайта под разными xBSD, и почему такое может происходить? Могут ли влиять особенности сертификата/шифрования?

2.19, xtotec (ok), 17:50, 08/10/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Афигеть вы технарь, молодой человек. Каким образом предлагаете чинить "не открывается", святым духом? Посылаю вам лучики суппорта. Уже лучше?

3.20, Аноним (16), 18:04, 08/10/2022 [^] [^^] [^^^] [ответить]	–1 +/–
А что вам непонятно в моем сообщении? Браузер используется FF-ESR под всеми xBSD, пинг до сайта chelinvest.ru есть. При использовании на машине клиента FreeBSD, этот сайт открывается и успешно работает, при использовании NetBSD & OpenBSD, FF-ESR не открывает сайт, просто крутится прогресс, без сообщения об ошибках.

4.36, xtotec (ok), 19:23, 08/10/2022 [^] [^^] [^^^] [ответить]	+2 +/–
> А что вам непонятно в моем сообщении? Браузер используется FF-ESR под всеми > xBSD, пинг до сайта chelinvest.ru есть. При использовании на машине клиента > FreeBSD, этот сайт открывается и успешно работает, при использовании NetBSD & > OpenBSD, FF-ESR не открывает сайт, просто крутится прогресс, без сообщения об > ошибках. Причин для "просто крутится прогресс" может быть просто море. Берёте curl -v и смотрите, может у вас на NetBSD и OpenBSD вообще MTU не тот.

4.81, Антуан (??), 07:45, 10/10/2022 [^] [^^] [^^^] [ответить]	+/–
У тебя интернет не работает лолка

2.56, Аноним (55), 00:04, 09/10/2022 [^] [^^] [^^^] [ответить]	+4 +/–
Вот. Вот они, суровые челябинские парни!

2.86, Аноним (85), 15:23, 10/10/2022 [^] [^^] [^^^] [ответить]	+/–
Так твой сайт его главная страница это джаваскрипт который посылает на адрес через document.location.href джавасрипт попробуй включить больше там ничего нет.

1.39, Аноним (-), 19:50, 08/10/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Кто знает почему разработчики Void Linux отказались от поумолчального состояния LibreSSL в своём дистре?

2.40, Аноним (49), 20:36, 08/10/2022 [^] [^^] [^^^] [ответить]	+/–
потому что не соответствует стандартам. nss - наше все, васяни ненужны

2.84, Аноним (84), 12:40, 10/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Я не интересовался почему именно в войде отказались, но обычно народ просто задалбывается костылить патчи под либрессл, которые зачастую апстрим принципиально не принимает (примеры из памяти: Qt, postfix). И это не всегда можно поправить на уровне проверки #ifdef OPENSSL_VERSION, апи и функциональность могут отличаться или вообще отсутствовать. Michał Górny немного разъяснял, почему такое решение приняли в генту, примерно те же причины будут у большинства мейнтейнеров других дистров. Почитайте https://www.gentoo.org/support/news-items/2021-01-05-libressl-support-disconti

1.46, InuYasha (??), 21:26, 08/10/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
apt remove openssl && apt install libressl достаточно?

2.66, Аноним (66), 07:44, 09/10/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Вторая команда не прокатит, потому что сломается загрузка пакетов через tls.

2.93, mikhailnov (ok), 21:16, 10/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Нет, они [в целом] совместимы по API (во время компиляции), но не по ABI (во время выполнения).

3.97, InuYasha (??), 16:34, 12/10/2022 [^] [^^] [^^^] [ответить]	+/–
Печально. Значит, софт, скомпиленный с разными либами будет жить в системе с разными либами (

4.98, mikhailnov (ok), 18:16, 12/10/2022 [^] [^^] [^^^] [ответить]	+/–
> Печально. Значит, софт, скомпиленный с разными либами будет жить в системе с > разными либами ( Самое веселое - это собрать софт с одной из двух либ, а другую либу, которую тоже использует этот софт, собрать с другой из двух либ

1.67, Аноним (66), 07:49, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>Добавлена экспериментальная поддержка API для протокола QUIC, изначально реализованная в BoringSSL.

Огого! Вот это отличные новости!

>Задействован тест простоты Бейли — Померанца — Селфриджа — Уогстаффа (Baillie-PSW) вместо теста Миллера-Рабина.

Да ну, зачем с этим возиться вообще? Надо просто раскладывать число на список простых множителей со степенями, и если у списка длина 1 -- то и число простое. (; А то экономят на мышах. Преждевременная оптимизация -- враг прогресса.

2.74, Krafter (?), 16:59, 09/10/2022 [^] [^^] [^^^] [ответить]	+/–
это лишний функционал, а лишний функционал им не нужен!

2.83, 1 (??), 10:17, 10/10/2022 [^] [^^] [^^^] [ответить]	+2 +/–
> Надо просто раскладывать число на список простых множителей Если найдёшь эффективный алгоритм для этого - получишь нобелевскую премию ... А йопт ... не выдают же нобелевки за математику ... Ну будешь тем, кто разрушит современное шифрование.

3.94, Аноним (94), 23:59, 10/10/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Наконец-то кто-то разгадал тонкий троллинг.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: