The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.03.2012 16:21  Релиз библиотеки OpenSSL 1.0.1 с поддержкой TLS 1.2

Спустя два года с момента выхода прошлого значительного релиза представлена новая версия OpenSSL 1.0.1, библиотеки с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Несмотря на незначительный на первый взгляд номер версии в OpenSSL 1.0.1 представлено несколько существенных новшеств.

Ключевые улучшения:

  • Поддержка протоколов TLS v1.2 и TLS v1.1;
  • Поддержка протокола SRP (Secure Remote Password) и пакетов шифрования (ciphersuites) TLS-SRP для создания безопасного канала связи с использованием обычных паролей, которые в состоянии запомнить человек. Пример создания SRP-сессии можно посмотреть здесь;
  • Поддержка в TLS/DTLS расширения heartbeat;
  • Поддержка протокола SCTP (Stream Control Transmission Protocol);
  • Возможность экспорта данных ключей TLS в соответствии с требованиями RFC 5705;
  • Поддержка DTLS-SRTP согласования в соответствии с RFC 5764;
  • Реализация TLS-расширения с поддержкой протокола согласования Next, предложенного компанией Google (Next Protocol Negotiation);
  • Возможность использования PSS-сигнатур (Probabilistic Signature Scheme) в сертификатах, запросах и CRL;
  • Поддержка в библиотеке CMS (Cryptographic Message Syntax) механизма шифрования с использованием заданных пользователями паролей, определённого в RFC 3211;
  • Предварительная поддержка FIPS для непроверенного OpenSSL FIPS-модуля 2.0.


  1. Главная ссылка к новости (http://marc.info/?l=openssl-an...)
  2. OpenNews: Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устранением уязвимости
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, iZEN, 17:24, 16/03/2012 [ответить] [смотреть все]    [к модератору]
  • –7 +/
    В IPv6 интегрирован IPSec. Перспективы OpenSSL/TLS под вопросом.
     
     
  • 2.2, Аноним, 17:54, 16/03/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –1 +/
    И когда наступит этот ipv6? Внуки хоть застанут?
     
     
  • 3.11, Genry, 19:23, 16/03/2012 [^] [ответить] [смотреть все]    [к модератору]
  • –1 +/
    6 июня!
     
     
  • 4.12, Аноним, 19:26, 16/03/2012 [^] [ответить] [смотреть все]    [к модератору]
  • +1 +/
    Какого года?
     
     
  • 5.13, Аноним, 19:31, 16/03/2012 [^] [ответить] [смотреть все]    [к модератору]
  • +9 +/
    Каждого.
     
     
  • 6.14, pavlinux, 19:49, 16/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    опять?
     
  • 5.25, Genry, 09:15, 17/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Когда умалчивается, значит текущий!
     
     
  • 6.36, Аноним, 15:10, 17/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да? А день рождения у тебя какого числа?
     
  • 5.26, Genry, 09:19, 17/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Какого года?

    https://www.opennet.ru/opennews/art.shtml?num=32840

     
  • 2.3, Stell, 17:56, 16/03/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Почему-то миф об интегрированном IPsec очень популярен, только непонятно что п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, iZEN, 18:48, 16/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Люди под интеграцией IPSec подразумевают защищённость соединений и возможность ш... весь текст скрыт [показать]
     
     
  • 4.9, ptr, 19:03, 16/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/

    >> И потом, SSL/TLS и IPsec выполняют несколько разные задачи.
    > IPSec обрабатывает/фильтрует всё, что выше него, SSL/TLS только отдельные сессии TCP.

    Ну вот вы сами и подтвердили, что задачи разные.
    Если мне нужно, чтобы мой мобильный телефон находился в защищенной офисной сети - эту задачу лучше выполнит IPSec. Если при этом, я не хочу, чтобы обмен моего почтового клиента с почтовым сервером внутри этой защищенной сети кто-то мог дешифровать, то эту задачу лучше выполнит SSL/TLS.

     
     
  • 5.18, Аноним, 20:46, 16/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И как, много мобильников с поддержкой ipsec вы уже видели Хотя я допускаю возмо... весь текст скрыт [показать]
     
     
  • 6.24, Пыщь, 09:08, 17/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Во всех iPhone-ах IPSec есть из коробки.
     
     
  • 7.27, Stax, 12:23, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Это не телефон, а смартфон Спрашивали про ipsec в телефонах, между прочим Так... весь текст скрыт [показать]
     
     
  • 8.63, XoRe, 19:07, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А часто вы почту на простых телефонах проверяете Один фиг, к тому моменту, когд... весь текст скрыт [показать]
     
  • 7.28, Аноним, 12:32, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А скрин настроек Впрочем на ифонах мир не заканчивается Например вот под рукой... весь текст скрыт [показать]
     
     
  • 8.32, ptr, 13:54, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот в руке держу E72 IPv6 не вижу, зато IPSec есть и работает из коробки И воо... весь текст скрыт [показать]
     
     
  • 9.34, тень_pavel_simple, 13:58, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    вы про ipsec вообще не в курсе или притворяетесь ... весь текст скрыт [показать]
     
  • 9.46, Аноним, 19:08, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А у меня наоборот В настройках соединения GPRS есть выбор ipv4 или ipv6 А ник... весь текст скрыт [показать]
     
     
  • 10.49, тень_pavel_simple, 19:43, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    gt оверквотинг удален кто сказал что для других отсутствие соединения чем не ... весь текст скрыт [показать]
     
  • 10.53, pavlinux, 01:43, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    IPSec это туннель внутри IPv4 иль IPv6 ... весь текст скрыт [показать]
     
  • 6.41, Аноним, 17:11, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    все устройства выпущеные Apple - умеют ipsec и стопку других VPN конектов В от... весь текст скрыт [показать]
     
     
  • 7.47, Аноним, 19:09, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ой, под линуксные телефоны навалом любых самых загогулистых VPN Вплоть до cisco... весь текст скрыт [показать]
     
  • 5.33, тень_pavel_simple, 13:55, 17/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    >то эту задачу лучше выполнит SSL/TLS.

    нет!


     
     
  • 6.37, ptr, 15:17, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Да Так как мой аргумент на целых два восклицательных знака длинее, значит он ... весь текст скрыт [показать]
     
  • 4.35, stellgenossen.ru, 14:56, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Чем отличается IPsec в стэке IPv6, куда он якобы интегрирован, от IPv4, где этой... весь текст скрыт [показать]
     
     
  • 5.38, тень_pavel_simple, 15:59, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    gt оверквотинг удален да-да конечно, именно поэтому необходима инфраструктура ... весь текст скрыт [показать]
     
     
  • 6.39, MrStell, 16:08, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вы сейчас на какой вопрос отвечали Напомню исходная посылка была о том, что в ... весь текст скрыт [показать]
     
  • 6.48, Аноним, 19:16, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И это - хорошо и правильно Зато мы можем проверить что прицепившийся клиент - н... весь текст скрыт [показать]
     
  • 5.54, pavlinux, 01:59, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Угу, щаз попробуй установи и поддерживай соединение с договорёнными хостами... весь текст скрыт [показать]
     
     
  • 6.57, MrStell, 02:42, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кабеля нет, зато есть PSK или сертификат, для обмена трафиком с этими хостами В... весь текст скрыт [показать]
     
     
  • 7.61, тень_pavel_simple, 16:12, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    повторяем для невнимательных для работы ssl tls в том виде в которjм вы её здесь... весь текст скрыт [показать]
     
  • 2.5, ptr, 18:38, 16/03/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Перспективы использования SSL TSL для защищенного соединения хостов в инфраструк... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, Аноним, 20:39, 16/03/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Сравнил ж-у к тому же грязную с пальцем ... весь текст скрыт [показать] [показать ветку]
     
  • 2.19, Аноним, 21:26, 16/03/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Скажите мне, многоуважаемый, как вы с помощью IPSec зашифруете файл типа openss... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, iZEN, 21:41, 16/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Какой файл, вы о чём В IPSec всё автоматически происходит в зависимости от наст... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 22:58, 16/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Какой протокол, во о чем Человеку файл нужно зашифровать Вот http en wikiped... весь текст скрыт [показать]
     
  • 4.29, Аноним, 12:33, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    О том что он файл шифрует утилиткой из комплекта openssl, а что ... весь текст скрыт [показать]
     
     
  • 5.58, iZEN, 09:08, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Что что 8212 побочное действие протокола прикладного уровня Для IPSec на одн... весь текст скрыт [показать]
     
  • 2.45, Andrew Kolchoogin, 18:22, 17/03/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Изя, сдай дилера HTTPS, к примеру, умеет аутентифицировать удалённого пользоват... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, iZEN, 19:44, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Мерзопакостный народец нынче пошёл Чужие никнеймы корёжит Представь себе, да ... весь текст скрыт [показать]
     
     
  • 4.51, MrStell, 20:05, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это все очевидные вещи Неочевидно, как тот же Apache сможет узнать имя, указанн... весь текст скрыт [показать]
     
     
  • 5.59, iZEN, 09:15, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А зачем Apache что-то знать кроме организации сессии HTTP вон с тем узлом Не ег... весь текст скрыт [показать]
     
     
  • 6.60, MrStell, 13:35, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вы вопросы вообще читаете или комментируете от балды При использовании SSL, сер... весь текст скрыт [показать]
     
     
  • 7.67, Michael Shigorin, 03:06, 21/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Давно уж от балды Поправь его сейчас МакКузик, он и его бы загрызть попробо... весь текст скрыт [показать]
     
  • 1.4, CSRedRat, 18:03, 16/03/2012 [ответить] [смотреть все]    [к модератору]  
  • +/
    Очень занимательно, что объявлена поддержка протокола SCTP. Интересно, как он там поживает? Мало где встретишь упоминания о нём, а софта, который его поддерживает я вообще в руках не держал, хотя протокол ну очень перспективный, обладает рядом интересных возможностей (по ссылке в статье на википедии описаны преимущества перед TCP и возможности протокола), причём реализация этого протокола есть в ядре Linux, в Unix-системах, CISCO IOS и прочих, что даёт его наличие в множестве сетевых устройств, но он не поддержан в Windows, хотя в .NET Framework 4 ввели поддержку протокола SCTP. Интересно, что препятствует энергичному развитию и продвижению протокола?
     
     
  • 2.7, Аноним, 18:50, 16/03/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ознакомился с SCTP - смысл в нем есть А кому это надо 95 населения работает т... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 22:59, 16/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что в этом плохово ... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 04:01, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    s плохово плохого Много чего Если вам это не очевидно - то, вероятно, вам это ... весь текст скрыт [показать]
     
  • 4.31, СуперАноним, 13:26, 17/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    То, что не выполняется вселенское предназначение существования существ, наделённ... весь текст скрыт [показать]
     
  • 4.68, Michael Shigorin, 03:15, 21/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Полная бессмысленность В клинических случаях даже кризисы-дефолты не доходят ... весь текст скрыт [показать]
     
  • 2.8, Аноним, 18:52, 16/03/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Молодец Сам спросил, сам ответил ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, CSRedRat, 19:18, 16/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это понятно, но в NET он появился, значит уже особых преград нет В приложениях... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 20:43, 16/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А зачем должны быть преграды Вот вы можете взять пудовую гирю и с ней побегать ... весь текст скрыт [показать]
     
  • 2.16, Аноним, 20:42, 16/03/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Отсутствие в этом какого либо внятного смысла TCP и UDP уже есть, покрывают 99 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, pavlinux, 02:37, 18/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    oops
     
  • 2.30, СуперАноним, 13:22, 17/03/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    >Очень занимательно, что объявлена поддержка протокола SCTP.

    Тоже считаю, что это самое существенное нововведение в этой версии OpenSSL.

    >но он не поддержан в Windows

    А почему нас должны волновать проблемы Windows?
    Может, это и хорошо, что он не поддержвает многие протоколы, есть причина использовать неWindowsы.

     
  • 2.56, pavlinux, 02:40, 18/03/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    > Интересно, что препятствует энергичному развитию и продвижению протокола?

    Фаерфокс на SCTP - http://www.eecis.udel.edu/~amer/PEL/Firefox/sctp_firefox_3.0...
    Апач over SCTP -  http://www.eecis.udel.edu/~nataraja/research.html

    Начинайте продвигать!!! :)

    А вот Google предлагает SPDY, по смыслу очень похож на SCTP,
    так что, перспективы массового SCTP стали ещё призрачней.  

     
     
  • 3.62, тень_pavel_simple, 16:21, 18/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> Интересно, что препятствует энергичному развитию и продвижению протокола?
    > Фаерфокс на SCTP - http://www.eecis.udel.edu/~amer/PEL/Firefox/sctp_firefox_3.0...
    > Апач over SCTP -  http://www.eecis.udel.edu/~nataraja/research.html
    > Начинайте продвигать!!! :)
    > А вот Google предлагает SPDY, по смыслу очень похож на SCTP,
    > так что, перспективы массового SCTP стали ещё призрачней.

    cat /usr/bin/withsctp
    #!/bin/sh
    # -*- sh -*-
    LIBDIR=/usr/lib/lksctp-tools
    BINDIR=/usr/bin
    export LD_PRELOAD=${LIBDIR}/libwithsctp.so.1.0.11
    if ! ${BINDIR}/checksctp 2> /dev/null
    then
        ${BINDIR}/checksctp;
        exit 1;
    fi

    exec $*

     
     
  • 4.64, pavlinux, 21:03, 18/03/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    withsctp checksctp Protocol not supported D Дырявый он в своё время был, в... весь текст скрыт [показать]
     
     
  • 5.65, Sem, 23:55, 19/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Если в линуксе кривая реализация, это не значит, что протокол плохой.
     
     
  • 6.66, pavlinux, 01:10, 20/03/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Если в линуксе кривая реализация, это не значит, что протокол плохой.

    Где было про реализацию и кривизну? Просто баг - не используемая метка, которая
    компилятором тупа удаляется, так как ни одного перехода на неё всё равно не будет.

      

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor