Разработчики проекта OpenBSD представили (https://www.mail-archive.com/announce@openbsd.org/msg00...) выпуск переносимой редакции пакета LibreSSL 2.9.1 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.9.1 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.5.
Изменения в LibreSSL 2.9.1:
- Добавлена хэш функция SM3 (китайский стандарт GB/T 32905-2016);
- Добавлен блочный шифр SM4 (китайский стандарт GB/T 32907-2016);
- Добавлены макросы OPENSSL_NO_* для улучшения совместимости с OpenSSL;
- Частично портирован из OpenSSL метод EC_KEY_METHOD;
- Реализованы отсутствующие вызовы API OpenSSL 1.1;
- Добавлена поддержка XChaCha20 и XChaCha20-Poly1305;
- Добавлена поддержка передачи ключей AES через интерфейс EVP;
- Обеспечена автоматическая инициализация CRYPTO_LOCK;
- Для усиления совместимости с OpenSSL в утилиту openssl добавлена поддержка схемы хэширования ключей pbkdf2, по умолчанию в командах enc , crl, x509 и dgst задействован метод хэширования sha25;
- Добавлены тесты для проверки переносимости между LibreSSL и OpenSSL
1.0/1.1;
- Добавлены дополнительные тесты Wycheproof;
- Добавлена возможность использования алгоритма RSA PSS для цифровых подписей при согласовании соединений (handshake);
- Добавлена реализация конечного автомата для обработки handshake, определённого в RFC-8446;
- Из libcrypto удалён связанный с ASN.1 устаревший код, не используемый уже около 20 лет;- Добавлены ассемблерные оптимизации для 32-разрядных систем ARM и Mingw-w64;
- Улучшена совместимость с платформой Android.
URL: https://www.mail-archive.com/announce@openbsd.org/msg00...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50552
TLS 1.3 когда запилят?
+1
В 6.6 точно будет. Даже у OpenSSL 1.0.2 поддержка до конца этого года, сейчас идет бурная деятельность по обеспечению работы всего чего можно с TLS 1.3.
Это война между пейсателями софта для халявного пиару.
Конечным юзерам это всё пофик, даже если это админы каких то сайтегов.
это пока гугель тебя не зобанил за недостаточно модную версию tls, и сертификат pci/dss не отобрали за то же самое.(уязвимости, никем не верифицированные алгоритмы, держащиеся на репутации пары странных фриков? Не, это пофигу, сертификаты дают не за это)
У меня на моём сайтиге tls нет и в планах нет, похер на поисковики, мне трафик не нужен.
Если ты про бан клиента=браузера, то в целом тоже пофик, есть другие поисковики, но у меня и свехая мазилла и хромиум есть.
> У меня на моём сайтиге tls нет и в планах нет, похер
> на поисковики, мне трафик не нужен.а сайт тогда зачем?
люди ведь тебе тоже не нужны, получается, не только траффик - раз тебя невозможно будет найти.
Чтобы было куда выкладывать то что мне нужно пошарить, и потом можно легко давать ссылки на форумы и самому не терять.
ну то есть нету у тебя, получается, сайта - сайт это все же - какую-то информацию до людей довести (или чего-нибудь им впарить). А тут модный-нескучный ftp (ну это правильно, ftp ж уже тоже зобанен везде) для своих.А тем у кого таки сайты для людей - придется внедрять 1.3 и чем быстрее тем лучше.
Ну или закрываться, потому что люди все равно не пойдут, разьве что ссылочку им в тентакле подсунуть - да и то, это пока тентакль эти ссылки не начал блокировать или заставлять делать десять кликов "да, я точно уверен что хочу на другой сайт".
У меня там не только файлопомойка но и вики.В остальном да, про цифровую изоляцию посредствам контроля технологий (браузеров) и через крипту я согласен.
Но это же потому что все сами такие балбесы и прогибаются под гугл.
А я не зарабатываю на этом, потому у меня на сайте никаких левых скриптов, шрифтов, счётчиков, реклам и прочего не загружается, я могу себе это позволить.
Но-о-овенькая...
Что поломали в этой?
Без tls1.3 нахрен не нужно. Я вот уже поддержку 1.1 и 1.2 отключил.
TlS 1.3 недавно ломали, славно что его все еще нету.
Вы в этом не разбираетесь, как и ссылкодаватели ниже?
https://eprint.iacr.org/2019/347
Во-первых, PSK не специфичен для TLS1.3, там об этом явно написано. Во-вторых, PSK используется в довольно редких случаях, примеры там тоже есть. Обычного HTTPS это не касается никак. Вывод - очередной мамкин криптограф услышал звон = TLS1.3 ломали.
https://eprint.iacr.org/2018/1173.pdf
Там вообще-то пишут что 1.3 не подвержен описанным атакам, и провести их возможно только через downgrade. Поэтому собственно и нужно выкидывать поддержку 1.1 и 1.2.
http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenb...
Ни слова о чём-то 1.3 специфичном.
Бздунам уважуха! Нужно!
У меня два вопроса:1. tor собрать с ней можно?
2. А ядро linux собрать с хешем для модулей sha512?
Tor с LibreSSL прекрасно собирается в той же генте. В ядре вроде какая-то своя реализация.