URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115021
[ Назад ]

Исходное сообщение
"Выпуск LibreSSL 2.8.0 "
Отправлено opennews , 09-Авг-18 19:13

Разработчики проекта OpenBSD представили (https://www.mail-archive.com/announce@openbsd.org/msg00...) выпуск переносимой редакции пакета LibreSSL 2.8.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.8.0 рассматривается как экспериментальный, в котором  развиваются возможности, которые войдут в состав OpenBSD 6.4.

Особенности LibreSSL 2.8.0:

-  Расширена документация и добавлены сведения об истории изменения API;
-  Добавлены дополнительные проверки параметра 'poisoning'  в различных функциях  X509_VERIFY_PARAM, блокирующие применение непроверенных сертификатов в случае проблем с их верификацией;
-  Устранена потенциальная утечка памяти при сбоях во время работы  ASN1_item_digest;
-  Устранён потенциальный крах при использовании функции asn1_item_combine_free;
-  Удалены неиспользуемые флаги SSL3_FLAGS_DELAY_CLIENT_FINISHED и
   SSL3_FLAGS_POP_BUFFER;
-  Упрощено использование и приближены к поведению OpenSSL вызовы ENGINE_finish и ENGINE_free, переписана документация по функциям ENGINE_*;
-  Добавлены аннотации констант для многих API из OpenSSL;
-  Устранены несущественные векторы для атак по сторонним каналам (разное время обработки) при работе  ecdsa_sign_setup и   dsa_sign_setup;
-  Документированы типовые ошибки использования  BN_FLG_CONSTTIME и constant-time в функциях BN_*, приводящие к проблемам с безопасностью;
-  Вызов BN_clear переведён на использование функции explicit_bzero;
-  Добавлены недостающие проверки границ буферов в c2i_ASN1_BIT_STRING;
-  Очередная порция кода переведена на использование подсистемы CBS, в том числе код для обмена ключами RSA.
-  Удалены остававшиеся наборы шифров на основе DES;
-  Осуществлено применение ложных заполняющих значений при генерации цифровых подписей DSA и ECDSA для снижения риска применения атак по сторонним каналам для  восстановления ключей;
-  Задействованы операции умножения в ECC с постоянным временем выполнения операции;
-  Пересмотрена реализация  RSASSA-PKCS1-v1_5 в контексте соответствия спецификации RFC 8017;
-  Проведена чистка функций BN_* по мотивам недавних изменений в OpenSSL.
URL: https://www.mail-archive.com/announce@openbsd.org/msg00...ж
Новость: https://www.opennet.me/opennews/art.shtml?num=49105

Содержание

Выпуск LibreSSL 2.8.0 ,menangen, 19:13 , 09-Авг-18
Выпуск LibreSSL 2.8.0 ,Аноним, 19:15 , 09-Авг-18
- Выпуск LibreSSL 2.8.0 ,A.Stahl, 20:12 , 09-Авг-18
- Выпуск LibreSSL 2.8.0 ,пох, 06:52 , 10-Авг-18
  - Выпуск LibreSSL 2.8.0 ,Аноним, 12:01 , 10-Авг-18
  - Выпуск LibreSSL 2.8.0 ,anonimm, 06:57 , 12-Авг-18
    - Выпуск LibreSSL 2.8.0 ,Andrey Mitrofanov, 12:22 , 13-Авг-18
Выпуск LibreSSL 2.8.0 ,Аноним, 08:54 , 10-Авг-18
- Выпуск LibreSSL 2.8.0 ,PereresusNeVlezaetBuggy, 20:05 , 14-Авг-18
Выпуск LibreSSL 2.8.0 ,Держу в курсе, 14:10 , 10-Авг-18

Сообщения в этом обсуждении

"Выпуск LibreSSL 2.8.0 "
Отправлено menangen , 09-Авг-18 19:13

Вот еще проект годный https://bearssl.org/#download-and-installation

"Выпуск LibreSSL 2.8.0 "
Отправлено Аноним , 09-Авг-18 19:15

> Добавлены
Это не LibreSSL.

"Выпуск LibreSSL 2.8.0 "
Отправлено A.Stahl , 09-Авг-18 20:12

И не Gnome

"Выпуск LibreSSL 2.8.0 "
Отправлено пох , 10-Авг-18 06:52

все нормально, все путем, общий тренд не поменялся:
> Удалены остававшиеся наборы шифров на основе DES;
зашифрованное десять лет назад может теперь расшифровать только АНБ, ЦРУ и ФСБ, а ты свои собственные данные - уже нет ;-)
а копипастить из openssl никто и не собирался прекращать.

"Выпуск LibreSSL 2.8.0 "
Отправлено Аноним , 10-Авг-18 12:01

Зашифрованное DES можно расшифровать даже без пароля, прости господи.

"Выпуск LibreSSL 2.8.0 "
Отправлено anonimm , 12-Авг-18 06:57

Речь идёт об SSL, он используется для передачи данных по сети. Трафик десятилетней давности никто не хранит, а при создании нового сеанса клиент и сервер договариваются, какой блочный шифр использовать; если один из них не поддерживает DES, то договорятся использовать другой шифр.

"Выпуск LibreSSL 2.8.0 "
Отправлено Andrey Mitrofanov , 13-Авг-18 12:22

>Трафик десятилетней давности никто не хранит,
Изложите методику проверки столь сильного утверждения. Спасибо.

"Выпуск LibreSSL 2.8.0 "
Отправлено Аноним , 10-Авг-18 08:54

SSL_CTX_sess_set_get_cb сломали

"Выпуск LibreSSL 2.8.0 "
Отправлено PereresusNeVlezaetBuggy , 14-Авг-18 20:05

Там всё не так однозначно (нет, я не сестра офицера, или как там было).
Ребята из OpenSSL в 1.1.0 решили поменять API, добавив где возможно const. Спустя некоторое время LibreSSL делает то же самое.
Поскольку релизы OpenSSL и LibreSSL не синхронизируются, сторонние приложения, поддерживающие и OpenSSL, и LibreSSL, вынуждены поддерживать оба варианта — для сборки и со старыми и с новыми версиями. Во многих проектах это делается примерно так: для LibreSSL определяется соответствующая на уровне API версия OpenSSL, и дальше внутри кода проекта идёт отталкивание от OPENSSL_VERSION.
И вот теперь, когда в LibreSSL внесли изменения, аналогичные OpenSSL 1.1, а конечная программа собирается с предположением, что API LibreSSL соответствует API OpenSSL 1.0, сборка ломается.
В общем, ребята из OpenSSL продолжают поражать глубиной и проработанностью своих идей (из лучших побуждений, разумеется), а страдают в итоге все остальные.

"Выпуск LibreSSL 2.8.0 "
Отправлено Держу в курсе , 10-Авг-18 14:10

пришло время обновлять войд