The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

21.06.2014 09:14  Компания Google представила BoringSSL, форк OpenSSL

Компания Google опубликовала репозиторий с исходными текстами проекта BoringSSL, в рамках которого ведётся разработка независимого форка OpenSSL. Проект включает наработки, которые уже используется в Google для усиления безопасности OpenSSL. За годы в Google создано большое число патчей к OpenSSL, около 70 из которых не были приняты в основной состав OpenSSL, так как они носили экспериментальный характер или приводили к нарушению API или ABI. Теперь эти патчи легли в основу проекта BoringSSL. Разработку BoringSSL возглавил Адам Лэнгли (Adam Langley, agl), известный эксперт по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS и сетевой стек Chrome.

Развитию BoringSSL как открытого проекта способствовала недавняя череда серьёзных уязвимостей в OpenSSL, GnuTLS и SSL-реализации от компании Apple, которые были вызваны ошибками, находящимися в коде длительное время и остававшимися незамеченными. Всё это вызвало интерес по использованию усиливающих безопасность OpenSSL патчей в Android, Chrome и других продуктах. Поддерживать работу большого числа внешних патчей поверх OpenSSL является достаточно сложной задачей. Поэтому решено сменить модель их поддержания и вместо адаптации патчей к изменяющейся кодовой базе OpenSSL перейти к развитию самодостаточного форка, в который будут импортироваться изменения из OpenSSL.

Код BoringSSL скоро будет добавлен в репозиторий Chromium, а в дальнейшем возможно появится в составе платформы Android. Сохранение совместимости с OpenSSL на уровне API и ABI не гарантируется. При этом, BoringSSL не позиционируется как замена OpenSSL. Google продолжит передачу исправлений ошибок и важных изменений в OpenSSL и будет оказывать финансовую поддержку данному проекту. Кроме того, создатели BoringSSL намерены организовать сотрудничество с LibreSSL, форком OpenSSL от проекта OpenBSD. Для организации обмена кодом с LibreSSL компания Google уже перелицензировала часть своих патчей под лицензией ISC, что позволит наладить взаимный обмен патчами.

Из изменений можно отметить:

  • удаление нереализованных функций,
  • сокращение числа поддерживаемых форматов в ClientHello,
  • обеспечения одновременной поддержки старого и нового алгоритмов поиска сертификатов X.509,
  • реализация функции OPENSSL_str[n]casecmp,
  • удаление макросов DANE,
  • ограничение _X509_CHECK_FLAG_DOT_SUBDOMAINS только внутренним применением,
  • изменение метода проверки имени хоста по маске,
  • реализация расширения Intel SHA,
  • поддержка асинхронного поиска сеансов,
  • возможность использования только SHA-256 в клиентских сертификатах,
  • поддержка ChannelID,
  • реализация безопасных одноразовых кодов для (EC)DSA,
  • новая реализация функции tls1_change_cipher_state,
  • поддержка SSL AEAD, использование интерфейса AEAD в EVP и AES-GCM,
  • поддержка шифров ChaCha20-Poly1305, ECDHE-PSK-WITH-AES-128-GCM-SHA256,
  • рефакторинг ssl3_send_client_verify,
  • новые функции для определения принадлежности семействам шифров.


  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: В OpenSSL выявлены уязвимости, позволяющие вклиниться в транзитный трафик и организовать выполнение кода
  3. OpenNews: Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов
  4. OpenNews: Проект OpenBSD представил LibreSSL, форк OpenSSL
  5. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  6. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
Лицензия: CC-BY
Тип: Интересно / Программы
Ключевые слова: openssl, boringssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:35, 21/06/2014 [ответить] [смотреть все]
  • +8 +/
    BorgSSL им бы лучше подошло.
     
     
  • 2.14, Аноним, 11:24, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    BotnetSSL
     
  • 2.16, anonymous, 12:11, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +30 +/
    Я BolgenSSL сначала прочитал. Испугался.
     
     
  • 3.48, Аноним, 23:26, 21/06/2014 [^] [ответить] [смотреть все]
  • +1 +/
    Это как раз было бы менее страшно А вот мания гугла хавать все до чего дотянутс... весь текст скрыт [показать]
     
     
  • 4.60, cmp, 19:07, 22/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Да я вот тоже не пойму в чем прикол, прослойка безопасности SSL должна добавля... весь текст скрыт [показать]
     
     
  • 5.66, Аноним, 15:52, 25/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    ASSL вам в помощь Потому что одна отвёртка для всего на свете - это, конечно, к... весь текст скрыт [показать]
     
     
  • 6.67, Аноним, 16:08, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Понабежало тут спецов, тудыть-растудыть Нормальная либа криптографии должна выг... весь текст скрыт [показать]
     
  • 2.24, ILYA INDIGO, 13:23, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Мы Борг! Мы вас ассимилируем! Сопротивление бесполезно!
     
  • 1.2, Аноним, 09:37, 21/06/2014 [ответить] [смотреть все]  
  • +10 +/
    Ну все... Теперь opennssl побьет по форкам количество дистров линукса. Н
     
     
  • 2.30, Психиатр, 15:23, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    ждём с нетерпением
    systemd-ssld и libsystemd-ssl
     
  • 1.3, Аноним, 09:52, 21/06/2014 [ответить] [смотреть все]  
  • –3 +/
    а как же libressl ?
     
     
  • 2.4, Аноним, 10:02, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    А ты прочитай новость целиком и узнаешь.
     
     
  • 3.7, Аноним, 10:07, 21/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    прочти вопрос меж строк вопрос был к тому почему бы не слить свои патчи в либ... весь текст скрыт [показать]
     
     
  • 4.9, бедный буратино, 10:17, 21/06/2014 [^] [ответить] [смотреть все]  
  • +11 +/
    Потому что в libressl большое число изменений от google нафиг не нужно.

    ps. Пока вы не поймёте, как это работает, вам бесполезно что-то объяснять. Для вас это кубики, и вы видите движение кубиков, но не видите всю картину. Поэтому в КАЖДОЙ новости будут одни и те же сопли "зачем нужны форки", "NIH-синдром" (который большинство употребляет, даже не понимая его сути и причин возникновения термина) и так далее.

    Но главную тайну я открою: многие исходят из практичности. Не из "форков надо больше", "форков надо меньше", "идеологически правильно" или "идеологически неправильно", а из того, что именно они хотят сделать, и как ИМ будет удобнее это сделать. Это только анонимы на форуме любят поучать других с помощью набора штампов "выучи эти термины и стань руководителем любого проекта за полчаса".

     
  • 2.49, Аноним, 23:30, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > а как же libressl ?

    В ней гугл обнаружил фатальный недостаток...

     
     
  • 3.53, Elhana, 02:28, 22/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Все написано же.. Гугл хочет ломать API/ABI, LibreSSL не хочет.
     
     
  • 4.56, Аноним, 05:37, 22/06/2014 [^] [ответить] [смотреть все]  
  • +/
    И очень зря, btw Потому что то что есть в openssl - это пи ц ... весь текст скрыт [показать]
     
     
  • 5.62, Stellarwind, 15:07, 23/06/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Они собираются объявлять куски API устаревшими, но пока их кто-то использует они... весь текст скрыт [показать]
     
     
  • 6.68, Аноним, 16:10, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    В результате весь этот хлам таскает уйму несекурного кода Логично что потом баг... весь текст скрыт [показать]
     
  • 1.6, Аноним, 10:06, 21/06/2014 [ответить] [смотреть все]  
  • +10 +/
    А RussianSSL будет, чтобы не зависеть от западных компаний?
     
     
  • 2.10, бедный буратино, 10:18, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    взять libressl и закинуть обратно gost вот и весь сказ ... весь текст скрыт [показать] [показать ветку]
     
  • 2.11, Аноним, 10:21, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    И поддерживать будет только ГОСТы, ага
     
  • 2.50, XoRe, 23:46, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    OtechestvenayaSSL, не меньше, иначе не пропустят ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, t28, 10:20, 23/06/2014 [^] [ответить] [смотреть все]  
  • +/
    С неканонiчнъми символами в названии, не прокатит Предлагаю ПравославУБС ... весь текст скрыт [показать]
     
  • 1.12, Аноним, 11:02, 21/06/2014 [ответить] [смотреть все]  
  • +1 +/
    С очередными закладками гугла?
     
  • 1.13, Аноним, 11:09, 21/06/2014 [ответить] [смотреть все]  
  • +1 +/
    Как в воду глядел Завтра Google предоставят форки Wayland для Android, Nginx ... весь текст скрыт [показать]
     
     
  • 2.26, Аноним, 13:50, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    А сегодня в Wayland  найдут 100500 уязвимостей
     
  • 2.51, XoRe, 23:47, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Вы удивитесь, goobuntu... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, ананим, 11:50, 21/06/2014 [ответить] [смотреть все]  
  • +5 +/
    > Лэнгли

    Символично.

     
     
  • 2.20, Аноним, 12:48, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Эх, не успел :)
     
  • 1.17, Аноним, 12:33, 21/06/2014 [ответить] [смотреть все]  
  • +2 +/
    О, круто, давайте создадим три несовместимые версии OpenSSL, вместо того, чтобы ... весь текст скрыт [показать]
     
     
  • 2.19, Аноним, 12:47, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    RSS и Atom идеально сосуществуют. В чём проблема?
     
     
  • 3.27, Аноним, 14:09, 21/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Какой из них API?

    // b.

     
  • 2.29, Аноним, 14:42, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    В результате получатся n 1 несовместимых версий OpenSSL ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, Elhana, 02:30, 22/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Как-то так, да http xkcd com 927 ... весь текст скрыт [показать]
     
     
  • 4.58, Аноном, 09:48, 22/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Вечно актуальная картинка Текущий год едва за серидину перевалил а ее можно был... весь текст скрыт [показать]
     
     
  • 5.69, Аноним, 16:10, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    > серидину

    Эх, каникулы у двоечников начались :(.

     
  • 4.59, Аноним, 09:48, 22/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Не совсем так, но где-то так Суть в том, что доламывать то, что уже сломано, вс... весь текст скрыт [показать]
     
  • 2.64, Аноним, 15:33, 25/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Разрабы OpenSSL приложили немало усилий, чтобы добится появления реальных форков... весь текст скрыт [показать] [показать ветку]
     
  • 1.18, Аноним, 12:46, 21/06/2014 [ответить] [смотреть все]  
  • –1 +/
    Гугль скоро создаст свой интернет, в который можно войти тоько через хром или ан... весь текст скрыт [показать]
     
  • 1.21, Аноним, 12:57, 21/06/2014 [ответить] [смотреть все]  
  • +/
    > реализация расширения Intel SHA

    Перенесена из OpenSSL 1.0.2.

     
  • 1.31, Аноним, 16:08, 21/06/2014 [ответить] [смотреть все]  
  • –1 +/
    Госта там тоже не будет? Нафиг ненужно.
     
     
  • 2.32, Психиатр, 16:14, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    форкните форк обзовите GostSSL и назло всем выпилите все алгоритмы кроме гостов... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 17:07, 21/06/2014 [^] [ответить] [смотреть все]  
  • +/
    а после засунуть все эти четыре форка опенссля в редхет совтваре коллекционз и п... весь текст скрыт [показать]
     
  • 2.40, arisu, 20:14, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    согласен, гост там нафиг не упёрся никому ... весь текст скрыт [показать] [показать ветку]
     
  • 1.33, Аноним, 16:51, 21/06/2014 [ответить] [смотреть все]  
  • –1 +/
    > реализация расширения Intel SHA,

    Вау, АНБшные трояны в каждый дом!!!

     
  • 1.35, Аноним, 17:29, 21/06/2014 [ответить] [смотреть все]  
  • –1 +/
    Так гугль или АНБ представила Вспоминаются сказочки как гениальные ученые и... весь текст скрыт [показать]
     
     
  • 2.36, Аноним, 18:54, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    справедливости ради следует отметить, что гейц ничего кроме коррупции в ИТ не из... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Аноним, 23:19, 21/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Он еще васик написал. Хоть и не изобрел.
     
  • 2.37, Аноним, 19:37, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А где почитать правду про Гугл?
     
     
  • 3.52, pavlinux, 01:26, 22/06/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    http://google.com/ :)
     
     
  • 4.57, Аноним, 05:38, 22/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Да, а про недостатки винды честно расскажут на microsoft com ... весь текст скрыт [показать]
     
     
  • 5.65, Аноним, 15:34, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Так вам правду или недостатки ... весь текст скрыт [показать]
     
     
  • 6.71, Аноним, 16:16, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Поскольку идеал по определению недостижим, недостатки являются частью правды А ... весь текст скрыт [показать]
     
  • 6.73, arisu, 18:26, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    потрясающий по своей красоте и наивности вопрос рассказ о недостатках, значит ... весь текст скрыт [показать]
     
  • 3.55, rob pike, 02:52, 22/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Можете начать с Larry Page s brother Carl Page had experience with venture capi... весь текст скрыт [показать]
     
  • 1.38, Аноним, 20:09, 21/06/2014 [ответить] [смотреть все]  
  • –2 +/
    Потому что заметить уязвимости в коде десяти форков гораздо легче чем в коде одн... весь текст скрыт [показать]
     
     
  • 2.41, Аноним, 20:18, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Голословное утверждение То что базарная разработка кишит багами - факт Линуксо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Аноним, 23:23, 21/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Это тоже Изначально багов имхо примерно одинаково Потому что програмеры - челов... весь текст скрыт [показать]
     
     
  • 4.63, Аноним, 15:10, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Можно подумать, ты до опенсорсного мантайнера доорешься со своим патчем А если ... весь текст скрыт [показать]
     
     
  • 5.70, Аноним, 16:15, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Проверял и так и сяк Опенсорс намного больше понравился Там можно сразу доорат... весь текст скрыт [показать]
     
  • 5.72, arisu, 18:22, 25/06/2014 [^] [ответить] [смотреть все]  
  • +/
    ты знаешь, орать не пробовал а вот ежели почтой электрической писать 8212 от... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList