URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129983
[ Назад ]
Исходное сообщение
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено opennews , 15-Мрт-23 11:30 
После полутора лет разработки  состоялся  релиз библиотеки OpenSSL 3.1.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Поддержка OpenSSL 3.1 будет осуществляться до марта 2025 года. Поддержка прошлых веток  OpenSSL 3.0 и 1.1.1 продлится до сентября 2026 года и  сентября 2023 года соответственно. Код проекта распространяется под лицензией Apache 2.0...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58797

Содержание
Сообщения в этом обсуждении
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 11:30 
годная вещь, в отличие от gpg, который не поддается скриптованию. Не догадались диды, что программу могут вызывать неинтерактивно. Поэтому для скриптования gpg приходится снаряжать целую экспедицию, создавать для нее gpghome в tmpdir, имитировать ввод команд в stdin и так далее. А openssl весь свой контекст получает из cli, поэтому идеален для людей технических.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Akronim , 15-Мрт-23 11:36 
Странно, без всяких шифрую в кроне бакапы gpg перед отправкой на хранение в s3.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 11:41 
показывай.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аналоговнет , 15-Мрт-23 12:35 
encpypt:
tar -C ~/pron -cJf - . | gpg -c --passphrase 1234 --batch --yes --quiet > pron.tar.bz2.gpg

decrypt:
gpg -q -d --batch --passphrase 1234 --quiet pron.tar.bz2.gpg | tar -xvJf - -C ~/pr0n

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 12:49 
пароль - это фигня, ты давай сделай так, чтобы:

1) шифрование шло по асимметричным ключам: на тачке есть публичный ключ, но нет приватного, следовательно тачка может только зашифровать, но не расшифровать,
2) публичный ключ хранится не в gpghome, а в стороннем месте, например в /etc/mysuperbackup/public.key, и положил его туда администратор через какой-нибудь ансибл или прочие средства конфигурации (у меня например никсось),

вот и покажи, какую чечетку надо отбить перед gpg с его "Ephemeral home directories", чтобы при каждом бэкапе с нуля импортировать ключ в быстренько созданный gpghome. Почему импортировать? Потому что gpg не может принять ключ из cli, он должен лежать в gpghome. Такова стейтфул архитектура, задуманная дидами.

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено anonymous , 15-Мрт-23 12:51 
>  Потому что gpg не может принять ключ из cli, он должен лежать в gpghome.

вообще, может

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 13:03 
>шифрование шло по асимметричным ключам: на тачке есть публичный ключ, но нет приватного

Если тебе *действительно* требуется асимметричное шифрование файлов (согревать вселенную - мало нам глобального потепления), оставь в покое gpg (не для того он был написан) и открой для себя age https://github.com/FiloSottile/age

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 13:06 
>age

Шифрование с телеметрией, ммм.

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено anonymous , 15-Мрт-23 13:08 
допустим она там есть и что?
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено A , 15-Мрт-23 22:11 
Да дальше - как уже много раз люди делали... Увы.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Реэксперт , 15-Мрт-23 13:16 
Очень интересный диалог , шифруем телеметрию
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 13:29 
Ты в исходниках age на GitHub нашел телеметрию? Поделись, а то мужики не знают.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 13:40 
>>age
>Шифрование с телеметрией

Ты это в трамвае услышал? age что, телеметрию куда-то отправляет? Может tcpdump покажешь? Или в зашифрованный файл встраивает?

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Анонимусс , 15-Мрт-23 15:27 
Он увидел "Go" и его тригернуло, не обращайте внимание
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено OpenEcho , 16-Мрт-23 00:44 
> Шифрование с телеметрией, ммм.

Вот клоунада блин...
И где там телеметрия ?
В Го телеметрия планирутся только в тулчайне а не в компилированном коде

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 14:26 
Можно поподробнее по согревание вселенной? Ты же в курсе, что ассимметрично шифруется только сессионный симметричный ключ, а не все данные?
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Ананоним , 15-Мрт-23 20:06 
Вселенную ты не согреешь, ибо сколько было энергии во вселенной, чтолько и останется. Закон сохранения энергии открой для себя.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено pashev.ru , 15-Мрт-23 18:19 
Да когда же вы закончитесь?

http://git.pashev.ru/nix/nixsap/tree/modules/apps/gnupg/inst...

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 18:31 
> export GNUPGHOME='${cfg.home}'
> gpg2 --import

Не только не опроверг, но и подтвердил мою позицию.

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 16-Мрт-23 00:40 
GPG agent. HSM.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено ivan_erohin , 16-Мрт-23 16:53 
> вот и покажи, какую чечетку надо отбить перед gpg

изучай баш-портянку (в отличие от местных скриптолюбов автору действительно нужен был bash):
https://www.duply.net/Main_Page

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 16:50 
> cJf -

Набор опций?

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 12:07 
Какая еще крона, моя прелесть? Сейчас все делает SystemD.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено anonymous , 15-Мрт-23 12:47 
нет, спасибо
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 12:49 
RUNiT >> systemd
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 17:09 
> в отличие от gpg, который не поддается скриптованию

Ты плохо man gpg прочел. Там есть ньюансы, но все скриптуется.

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 18:11 
показывай давай, болтун
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено pashev.ru , 15-Мрт-23 18:20 
http://git.pashev.ru/nix/nixsap/tree/modules/apps/gnupg/
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено pashev.ru , 15-Мрт-23 18:21 
А остальное не могу показать — NDA )
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 16-Мрт-23 00:42 
Завязывай ты уже со своим локалхостным эксгибиционизмом.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 15:48 
Плохая библиотека, переусложненная, специально сделано вроде бы для уязвимостей, с динамическим выделением памяти. Необходимо переходить на альтернативы.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноньимъ , 15-Мрт-23 16:45 
Смотрите сколько альтернатив, ох, целая корзинка полная ничего. Надеюсь ничего вам хватит.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 17:08 
LibreSSL можно пробывать.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 18:43 
Gnutls умеет квик с декабря 2020 года: https://blogs.gnome.org/dueno/whats-new-in-gnutls-3-7-0/

Правда, всё равно с ней нужен ngtcp2, но реализация "без openssl" давно есть.

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 19:26 
https://github.com/oasislinux/oasis/issues/14
Переписываешь программу на не такое явное использование openssl, а через libtls, а там уже можно и подтянуть тот же bearssl.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноньимъ , 15-Мрт-23 19:58 
> Переписываешь программу
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено YetAnotherOnanym , 16-Мрт-23 06:28 
Переусложнённая она в твоём представлении. То, что тебе кажется "переусложнённостью" - результат учёта множества тонких моментов (которые Чапаев называл "нюансами"). Ты напишешь свою "непереусложнённую" реализацию какого-нибудь алгоритма шифрования, которая будет тупо XOR'ить одну переменную с другой, а умники из университета N найдут в ней овердофига путей утечки ключа по сторонним каналам, и вдруг окажется, что для блокировки таких утечек приходится громоздить разные ухищрения в коде. А потом приходит Аноним и объявляет твой код "переусложнённым".
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено ОШИБКА Отсутствуют данные в поле Name , 20-Мрт-23 12:59 
Heartbleed ничему не научил?
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 17:28 
что то про QUIC не слышно
хотя они там что то коммитят для него
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено lucentcode , 15-Мрт-23 17:55 
Не слышно. Пока с Quick/HTTP/3 совместим только BoringSSL.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 18:40 
Они в блог писали, что это последний релиз перед большим заходом на QUIC.

В 3.2 будет

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено edo , 17-Мрт-23 03:48 
а ech в 3.2 будет?

тут написано «This functionality described here was added in OpenSSL 3.2»
https://www.openssl.org/docs/manmaster/man3/OSSL_HPKE_open.html
но означает ли включение HPKE поддержку ECH, я не понял.

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Ilya Indigo , 16-Мрт-23 00:07 
https://www.openssl.org/roadmap.html
В 3.4.0 ожидайте.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 16-Мрт-23 03:22 
на смену второй циферки у них в среднем уходит около 3 лет
так что не раньше чем 29 году
лол
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 16-Мрт-23 04:13 
Я не очень понимаю, single-stream это недостаточно?

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено fi , 16-Мрт-23 15:10 
Держи!!!
https://github.com/quictls/openssl.git

проверенно - работает с http/3.

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 19:40 
>Повышена скорость

Напоминаю: в криптографии повышение скорости приводит к уязвимости.

"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Аноним , 15-Мрт-23 21:04 
Нет.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено DEF , 15-Мрт-23 22:52 
Напоминание для криптографов от диванных экспертов.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено ivan_erohin , 16-Мрт-23 16:55 
кто понял жизнь тот не спешит.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено АН , 26-Май-23 14:40 
Они её знатно прошляпили в третьей версии. Теперь обратно повышают :D
Всё что попереходило с 1.1 на 3.0 потеряло в производительности.
"Выпуск криптографической библиотеки OpenSSL 3.1.0 "
Отправлено Страдивариус , 15-Мрт-23 21:49 
Если писать программу, которая юзает два и более модуля, которые юзают openssl и требуют индивидуальных настроек openssl, то без проблем. GnuTLS конфигурируется глобально на весь процесс. Поделие.