The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.03.2012 16:21  Релиз библиотеки OpenSSL 1.0.1 с поддержкой TLS 1.2

Спустя два года с момента выхода прошлого значительного релиза представлена новая версия OpenSSL 1.0.1, библиотеки с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Несмотря на незначительный на первый взгляд номер версии в OpenSSL 1.0.1 представлено несколько существенных новшеств.

Ключевые улучшения:

  • Поддержка протоколов TLS v1.2 и TLS v1.1;
  • Поддержка протокола SRP (Secure Remote Password) и пакетов шифрования (ciphersuites) TLS-SRP для создания безопасного канала связи с использованием обычных паролей, которые в состоянии запомнить человек. Пример создания SRP-сессии можно посмотреть здесь;
  • Поддержка в TLS/DTLS расширения heartbeat;
  • Поддержка протокола SCTP (Stream Control Transmission Protocol);
  • Возможность экспорта данных ключей TLS в соответствии с требованиями RFC 5705;
  • Поддержка DTLS-SRTP согласования в соответствии с RFC 5764;
  • Реализация TLS-расширения с поддержкой протокола согласования Next, предложенного компанией Google (Next Protocol Negotiation);
  • Возможность использования PSS-сигнатур (Probabilistic Signature Scheme) в сертификатах, запросах и CRL;
  • Поддержка в библиотеке CMS (Cryptographic Message Syntax) механизма шифрования с использованием заданных пользователями паролей, определённого в RFC 3211;
  • Предварительная поддержка FIPS для непроверенного OpenSSL FIPS-модуля 2.0.


  1. Главная ссылка к новости (http://marc.info/?l=openssl-an...)
  2. OpenNews: Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устранением уязвимости
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, iZEN (ok), 17:24, 16/03/2012 [ответить] [показать ветку] [···]    [к модератору]
  • –7 +/
    В IPv6 интегрирован IPSec. Перспективы OpenSSL/TLS под вопросом.
     
     
  • 2.2, Аноним (-), 17:54, 16/03/2012 [^] [ответить]    [к модератору]
  • –1 +/
    И когда наступит этот ipv6? Внуки хоть застанут?
     
     
  • 3.11, Genry (?), 19:23, 16/03/2012 [^] [ответить]    [к модератору]
  • –1 +/
    6 июня!
     
     
  • 4.12, Аноним (-), 19:26, 16/03/2012 [^] [ответить]    [к модератору]
  • +1 +/
    Какого года?
     
     
  • 5.13, Аноним (-), 19:31, 16/03/2012 [^] [ответить]    [к модератору]
  • +9 +/
    Каждого.
     
     
  • 6.14, pavlinux (ok), 19:49, 16/03/2012 [^] [ответить]    [к модератору]  
  • +/
    опять?
     
  • 5.25, Genry (?), 09:15, 17/03/2012 [^] [ответить]    [к модератору]  
  • +/
    Когда умалчивается, значит текущий!
     
     
  • 6.36, Аноним (-), 15:10, 17/03/2012 [^] [ответить]    [к модератору]  
  • +/
    Да? А день рождения у тебя какого числа?
     
  • 5.26, Genry (?), 09:19, 17/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > Какого года?

    https://www.opennet.ru/opennews/art.shtml?num=32840

     
  • 2.3, Stell (??), 17:56, 16/03/2012 [^] [ответить]     [к модератору]  
  • +4 +/
    Почему-то миф об интегрированном IPsec очень популярен, только непонятно что п... весь текст скрыт [показать]
     
     
  • 3.6, iZEN (ok), 18:48, 16/03/2012 [^] [ответить]     [к модератору]  
  • +/
    Люди под интеграцией IPSec подразумевают защищённость соединений и возможность ш... весь текст скрыт [показать]
     
     
  • 4.9, ptr (??), 19:03, 16/03/2012 [^] [ответить]    [к модератору]  
  • +7 +/

    >> И потом, SSL/TLS и IPsec выполняют несколько разные задачи.
    > IPSec обрабатывает/фильтрует всё, что выше него, SSL/TLS только отдельные сессии TCP.

    Ну вот вы сами и подтвердили, что задачи разные.
    Если мне нужно, чтобы мой мобильный телефон находился в защищенной офисной сети - эту задачу лучше выполнит IPSec. Если при этом, я не хочу, чтобы обмен моего почтового клиента с почтовым сервером внутри этой защищенной сети кто-то мог дешифровать, то эту задачу лучше выполнит SSL/TLS.

     
     
  • 5.18, Аноним (-), 20:46, 16/03/2012 [^] [ответить]     [к модератору]  
  • +/
    И как, много мобильников с поддержкой ipsec вы уже видели Хотя я допускаю возмо... весь текст скрыт [показать]
     
     
  • 6.24, Пыщь (?), 09:08, 17/03/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Во всех iPhone-ах IPSec есть из коробки.
     
     
  • 7.27, Stax (ok), 12:23, 17/03/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    Это не телефон, а смартфон.. Спрашивали про ipsec в телефонах, между прочим! Так что пример не катит.
     
     
  • 8.63, XoRe (ok), 19:07, 18/03/2012 [^] [ответить]     [к модератору]  
  • +/
    А часто вы почту на простых телефонах проверяете Один фиг, к тому моменту, когд... весь текст скрыт [показать]
     
  • 7.28, Аноним (-), 12:32, 17/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > Во всех iPhone-ах IPSec есть из коробки.

    А скрин настроек? Впрочем на ифонах мир не заканчивается. Например вот под рукой симбиановский смарт. IPv6 - есть, а ipsec - что-то не вижу.

     
     
  • 8.32, ptr (??), 13:54, 17/03/2012 [^] [ответить]     [к модератору]  
  • +/
    Вот в руке держу E72 IPv6 не вижу, зато IPSec есть и работает из коробки И воо... весь текст скрыт [показать]
     
     
  • 9.34, тень_pavel_simple (?), 13:58, 17/03/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    вы про ipsec вообще не в курсе или притворяетесь ... весь текст скрыт [показать]
     
  • 9.46, Аноним (-), 19:08, 17/03/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    А у меня наоборот В настройках соединения GPRS есть выбор ipv4 или ipv6 А ник... весь текст скрыт [показать]
     
     
  • 10.49, тень_pavel_simple (?), 19:43, 17/03/2012 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален кто сказал что для других отсутствие соединения чем не ... весь текст скрыт [показать]
     
  • 10.53, pavlinux (ok), 01:43, 18/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > есть выбор: ipv4 или ipv6. А никакого ipsec я не вижу.

    IPSec это туннель внутри IPv4 иль IPv6.

     
  • 6.41, Аноним (-), 17:11, 17/03/2012 [^] [ответить]    [к модератору]  
  • –3 +/
    все устройства выпущеные Apple - умеют ipsec и стопку других VPN конектов..
    В отличии от тех же телефонов c linux на борту..
     
     
  • 7.47, Аноним (-), 19:09, 17/03/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > В отличии от тех же телефонов c linux на борту..

    Ой, под линуксные телефоны навалом любых самых загогулистых VPN. Вплоть до cisco vpn и какой там еще нестандартной байды.

     
  • 5.33, тень_pavel_simple (?), 13:55, 17/03/2012 [^] [ответить]    [к модератору]  
  • –3 +/
    >то эту задачу лучше выполнит SSL/TLS.

    нет!


     
     
  • 6.37, ptr (??), 15:17, 17/03/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Да Так как мой аргумент на целых два восклицательных знака длинее, значит он ... весь текст скрыт [показать]
     
  • 4.35, stellgenossen.ru (?), 14:56, 17/03/2012 [^] [ответить]     [к модератору]  
  • +/
    Чем отличается IPsec в стэке IPv6, куда он якобы интегрирован, от IPv4, где этой... весь текст скрыт [показать]
     
     
  • 5.38, тень_pavel_simple (?), 15:59, 17/03/2012 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален да-да конечно, именно поэтому необходима инфраструктура ... весь текст скрыт [показать]
     
     
  • 6.39, MrStell (ok), 16:08, 17/03/2012 [^] [ответить]     [к модератору]  
  • +/
    Вы сейчас на какой вопрос отвечали Напомню исходная посылка была о том, что в ... весь текст скрыт [показать]
     
  • 6.48, Аноним (-), 19:16, 17/03/2012 [^] [ответить]     [к модератору]  
  • +/
    И это - хорошо и правильно Зато мы можем проверить что прицепившийся клиент - н... весь текст скрыт [показать]
     
  • 5.54, pavlinux (ok), 01:59, 18/03/2012 [^] [ответить]     [к модератору]  
  • +/
    Угу, щаз попробуй установи и поддерживай соединение с договорёнными хостами... весь текст скрыт [показать]
     
     
  • 6.57, MrStell (ok), 02:42, 18/03/2012 [^] [ответить]     [к модератору]  
  • +/
    Кабеля нет, зато есть PSK или сертификат, для обмена трафиком с этими хостами В... весь текст скрыт [показать]
     
     
  • 7.61, тень_pavel_simple (?), 16:12, 18/03/2012 [^] [ответить]     [к модератору]  
  • +/
    повторяем для невнимательных для работы ssl tls в том виде в которjм вы её здесь... весь текст скрыт [показать]
     
  • 2.5, ptr (??), 18:38, 16/03/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Перспективы использования SSL TSL для защищенного соединения хостов в инфраструк... весь текст скрыт [показать]
     
  • 2.15, Аноним (-), 20:39, 16/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > В IPv6 интегрирован IPSec. Перспективы OpenSSL/TLS под вопросом.

    Сравнил ж-у (к тому же грязную) с пальцем.

     
  • 2.19, Аноним (-), 21:26, 16/03/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Скажите мне, многоуважаемый, как вы с помощью IPSec зашифруете файл типа "openssl aes-128-cbc -salt -in file -out file.aes"
     
     
  • 3.20, iZEN (ok), 21:41, 16/03/2012 [^] [ответить]     [к модератору]  
  • –4 +/
    Какой файл, вы о чём В IPSec всё автоматически происходит в зависимости от наст... весь текст скрыт [показать]
     
     
  • 4.21, Аноним (-), 22:58, 16/03/2012 [^] [ответить]    [к модератору]  
  • +5 +/
    Какой протокол, во о чем? Человеку файл нужно зашифровать.
    Вот http://en.wikipedia.org/wiki/Encryption отсюда начинайте читать.
     
  • 4.29, Аноним (-), 12:33, 17/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > Какой файл, вы о чём?

    О том что он файл шифрует утилиткой из комплекта openssl, а что? :)

     
     
  • 5.58, iZEN (ok), 09:08, 18/03/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Что что 8212 побочное действие протокола прикладного уровня Для IPSec на одн... весь текст скрыт [показать]
     
  • 2.45, Andrew Kolchoogin (?), 18:22, 17/03/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Изя, сдай дилера HTTPS, к примеру, умеет аутентифицировать удалённого пользоват... весь текст скрыт [показать]
     
     
  • 3.50, iZEN (ok), 19:44, 17/03/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Мерзопакостный народец нынче пошёл Чужие никнеймы корёжит Представь себе, да ... весь текст скрыт [показать]
     
     
  • 4.51, MrStell (ok), 20:05, 17/03/2012 [^] [ответить]     [к модератору]  
  • +/
    Это все очевидные вещи Неочевидно, как тот же Apache сможет узнать имя, указанн... весь текст скрыт [показать]
     
     
  • 5.59, iZEN (ok), 09:15, 18/03/2012 [^] [ответить]     [к модератору]  
  • +/
    А зачем Apache что-то знать кроме организации сессии HTTP вон с тем узлом Не ег... весь текст скрыт [показать]
     
     
  • 6.60, MrStell (ok), 13:35, 18/03/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Вы вопросы вообще читаете или комментируете от балды При использовании SSL, сер... весь текст скрыт [показать]
     
     
  • 7.67, Michael Shigorin (ok), 03:06, 21/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > Вы вопросы вообще читаете или комментируете от балды?

    Давно уж от балды. :(  Поправь его сейчас МакКузик, он и его бы загрызть попробовал, наверное.

     
  • 1.4, CSRedRat (ok), 18:03, 16/03/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Очень занимательно, что объявлена поддержка протокола SCTP. Интересно, как он там поживает? Мало где встретишь упоминания о нём, а софта, который его поддерживает я вообще в руках не держал, хотя протокол ну очень перспективный, обладает рядом интересных возможностей (по ссылке в статье на википедии описаны преимущества перед TCP и возможности протокола), причём реализация этого протокола есть в ядре Linux, в Unix-системах, CISCO IOS и прочих, что даёт его наличие в множестве сетевых устройств, но он не поддержан в Windows, хотя в .NET Framework 4 ввели поддержку протокола SCTP. Интересно, что препятствует энергичному развитию и продвижению протокола?
     
     
  • 2.7, Аноним (-), 18:50, 16/03/2012 [^] [ответить]    [к модератору]  
  • +/
    Ознакомился с SCTP - смысл в нем есть.

    >Интересно, что препятствует энергичному развитию и продвижению протокола?

    А кому это надо? 95% населения работает только из-за бабла.

     
     
  • 3.22, Аноним (-), 22:59, 16/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > А кому это надо? 95% населения работает только из-за бабла.

    Что в этом плохово?

     
     
  • 4.23, Аноним (-), 04:01, 17/03/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    >Что в этом плохово?

    s/плохово/плохого/

    Много чего. Если вам это не очевидно - то, вероятно, вам это знать и не нужно.

     
  • 4.31, СуперАноним (?), 13:26, 17/03/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    >> А кому это надо? 95% населения работает только из-за бабла.
    >Что в этом плохово?

    То, что не выполняется вселенское предназначение существования существ, наделённых разумом и, вероятно, душой.

     
  • 4.68, Michael Shigorin (ok), 03:15, 21/03/2012 [^] [ответить]    [к модератору]  
  • +/
    >> [...] работает только из-за бабла.
    > Что в этом плохово?

    Полная бессмысленность.  В клинических случаях даже кризисы-дефолты не доходят.

    Вот эссе, которое на днях подсунули почитать: http://flibusta.net/b/144270/read (краткий пересказ для некоторых: если ты ставишь программки "для ускорения интернета" или даже крутишь бездумно конфиги по чужому блогпосту, совершенно не вникая в суть делаемого и происходящего вследствие -- то ты не профи, ты не админ, ты не технарь, а просто чайник с большим или меньшим самомнением и идёшь ты дорогой в никуда)

    PS: возвращаясь к OpenSSL -- можно и не за бабло крупно ошибиться, а ишача на линтер.  Разница в том, чему придали неоправданую важность.

     
  • 2.8, Аноним (-), 18:52, 16/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > Интересно, что препятствует энергичному развитию и продвижению протокола?
    > он не поддержан в Windows

    Молодец. Сам спросил, сам ответил.

     
     
  • 3.10, CSRedRat (ok), 19:18, 16/03/2012 [^] [ответить]    [к модератору]  
  • +/
    >> Интересно, что препятствует энергичному развитию и продвижению протокола?
    >> он не поддержан в Windows
    > Молодец. Сам спросил, сам ответил.

    Это понятно, но в .NET он появился, значит уже особых преград нет. В приложениях, которые ориентированы только на *nix-среду тоже можно использовать, т.к. реализация протокола интегрирована уже давно. Но почему-то не видно приложений, которые его используют. Что мешает вместо TCP просто использовать SCTP в таких случаях? Сложнее?

     
     
  • 4.17, Аноним (-), 20:43, 16/03/2012 [^] [ответить]     [к модератору]  
  • +/
    А зачем должны быть преграды Вот вы можете взять пудовую гирю и с ней побегать ... весь текст скрыт [показать]
     
  • 2.16, Аноним (-), 20:42, 16/03/2012 [^] [ответить]     [к модератору]  
  • +/
    Отсутствие в этом какого либо внятного смысла TCP и UDP уже есть, покрывают 99 ... весь текст скрыт [показать]
     
     
  • 3.55, pavlinux (ok), 02:37, 18/03/2012 [^] [ответить]    [к модератору]  
  • +/
    oops
     
  • 2.30, СуперАноним (?), 13:22, 17/03/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    >Очень занимательно, что объявлена поддержка протокола SCTP.

    Тоже считаю, что это самое существенное нововведение в этой версии OpenSSL.

    >но он не поддержан в Windows

    А почему нас должны волновать проблемы Windows?
    Может, это и хорошо, что он не поддержвает многие протоколы, есть причина использовать неWindowsы.

     
  • 2.56, pavlinux (ok), 02:40, 18/03/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > Интересно, что препятствует энергичному развитию и продвижению протокола?

    Фаерфокс на SCTP - http://www.eecis.udel.edu/~amer/PEL/Firefox/sctp_firefox_3.0...
    Апач over SCTP -  http://www.eecis.udel.edu/~nataraja/research.html

    Начинайте продвигать!!! :)

    А вот Google предлагает SPDY, по смыслу очень похож на SCTP,
    так что, перспективы массового SCTP стали ещё призрачней.  

     
     
  • 3.62, тень_pavel_simple (?), 16:21, 18/03/2012 [^] [ответить]    [к модератору]  
  • +/
    >> Интересно, что препятствует энергичному развитию и продвижению протокола?
    > Фаерфокс на SCTP - http://www.eecis.udel.edu/~amer/PEL/Firefox/sctp_firefox_3.0...
    > Апач over SCTP -  http://www.eecis.udel.edu/~nataraja/research.html
    > Начинайте продвигать!!! :)
    > А вот Google предлагает SPDY, по смыслу очень похож на SCTP,
    > так что, перспективы массового SCTP стали ещё призрачней.

    cat /usr/bin/withsctp
    #!/bin/sh
    # -*- sh -*-
    LIBDIR=/usr/lib/lksctp-tools
    BINDIR=/usr/bin
    export LD_PRELOAD=${LIBDIR}/libwithsctp.so.1.0.11
    if ! ${BINDIR}/checksctp 2> /dev/null
    then
        ${BINDIR}/checksctp;
        exit 1;
    fi

    exec $*

     
     
  • 4.64, pavlinux (ok), 21:03, 18/03/2012 [^] [ответить]    [к модератору]  
  • +/
    >> Начинайте продвигать!!! :)
    >> А вот Google предлагает SPDY, по смыслу очень похож на SCTP,
    >> так что, перспективы массового SCTP стали ещё призрачней.
    > cat /usr/bin/withsctp
    > #!/bin/sh

    #  withsctp
    checksctp: Protocol not supported

    :D

    Дырявый он в своё время был, вот наверно года с 2006 у меня все конфиги ядра без него.
    Кстати, он  до сих пор EXPEREMENTAL
    ---
    # git pull
    # make

    net/sctp/protocol.c: В функции «sctp_addr_wq_timeout_handler»:
    net/sctp/protocol.c:676:1: предупреждение: метка «free_next» определена, но не используется [-Wunused-label]


    ля-ля-ля...

    [code]
    diff --git a/net/sctp/protocol.c b/net/sctp/protocol.c
    index 5942d27..9c90811 100644
    --- a/net/sctp/protocol.c
    +++ b/net/sctp/protocol.c
    @@ -673,7 +673,9 @@ void sctp_addr_wq_timeout_handler(unsigned long arg)
                                    SCTP_DEBUG_PRINTK("sctp_addrwq_timo_handler: sctp_asconf_mgmt failed\n");
                            sctp_bh_unlock_sock(sk);
                    }
    +#if IS_ENABLED(CONFIG_IPV6)
    free_next:
    +#endif
                    list_del(&addrw->list);
                    kfree(addrw);
            }
    [/code]


     
     
  • 5.65, Sem (??), 23:55, 19/03/2012 [^] [ответить]    [к модератору]  
  • +/
    Если в линуксе кривая реализация, это не значит, что протокол плохой.
     
     
  • 6.66, pavlinux (ok), 01:10, 20/03/2012 [^] [ответить]    [к модератору]  
  • +/
    > Если в линуксе кривая реализация, это не значит, что протокол плохой.

    Где было про реализацию и кривизну? Просто баг - не используемая метка, которая
    компилятором тупа удаляется, так как ни одного перехода на неё всё равно не будет.

      

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor