The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.06.2014 09:14  Компания Google представила BoringSSL, форк OpenSSL

Компания Google опубликовала репозиторий с исходными текстами проекта BoringSSL, в рамках которого ведётся разработка независимого форка OpenSSL. Проект включает наработки, которые уже используется в Google для усиления безопасности OpenSSL. За годы в Google создано большое число патчей к OpenSSL, около 70 из которых не были приняты в основной состав OpenSSL, так как они носили экспериментальный характер или приводили к нарушению API или ABI. Теперь эти патчи легли в основу проекта BoringSSL. Разработку BoringSSL возглавил Адам Лэнгли (Adam Langley, agl), известный эксперт по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS и сетевой стек Chrome.

Развитию BoringSSL как открытого проекта способствовала недавняя череда серьёзных уязвимостей в OpenSSL, GnuTLS и SSL-реализации от компании Apple, которые были вызваны ошибками, находящимися в коде длительное время и остававшимися незамеченными. Всё это вызвало интерес по использованию усиливающих безопасность OpenSSL патчей в Android, Chrome и других продуктах. Поддерживать работу большого числа внешних патчей поверх OpenSSL является достаточно сложной задачей. Поэтому решено сменить модель их поддержания и вместо адаптации патчей к изменяющейся кодовой базе OpenSSL перейти к развитию самодостаточного форка, в который будут импортироваться изменения из OpenSSL.

Код BoringSSL скоро будет добавлен в репозиторий Chromium, а в дальнейшем возможно появится в составе платформы Android. Сохранение совместимости с OpenSSL на уровне API и ABI не гарантируется. При этом, BoringSSL не позиционируется как замена OpenSSL. Google продолжит передачу исправлений ошибок и важных изменений в OpenSSL и будет оказывать финансовую поддержку данному проекту. Кроме того, создатели BoringSSL намерены организовать сотрудничество с LibreSSL, форком OpenSSL от проекта OpenBSD. Для организации обмена кодом с LibreSSL компания Google уже перелицензировала часть своих патчей под лицензией ISC, что позволит наладить взаимный обмен патчами.

Из изменений можно отметить:

  • удаление нереализованных функций,
  • сокращение числа поддерживаемых форматов в ClientHello,
  • обеспечения одновременной поддержки старого и нового алгоритмов поиска сертификатов X.509,
  • реализация функции OPENSSL_str[n]casecmp,
  • удаление макросов DANE,
  • ограничение _X509_CHECK_FLAG_DOT_SUBDOMAINS только внутренним применением,
  • изменение метода проверки имени хоста по маске,
  • реализация расширения Intel SHA,
  • поддержка асинхронного поиска сеансов,
  • возможность использования только SHA-256 в клиентских сертификатах,
  • поддержка ChannelID,
  • реализация безопасных одноразовых кодов для (EC)DSA,
  • новая реализация функции tls1_change_cipher_state,
  • поддержка SSL AEAD, использование интерфейса AEAD в EVP и AES-GCM,
  • поддержка шифров ChaCha20-Poly1305, ECDHE-PSK-WITH-AES-128-GCM-SHA256,
  • рефакторинг ssl3_send_client_verify,
  • новые функции для определения принадлежности семействам шифров.


  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: В OpenSSL выявлены уязвимости, позволяющие вклиниться в транзитный трафик и организовать выполнение кода
  3. OpenNews: Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов
  4. OpenNews: Проект OpenBSD представил LibreSSL, форк OpenSSL
  5. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  6. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
Лицензия: CC-BY
Тип: Интересно / Программы
Ключевые слова: openssl, boringssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:35, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +8 +/
    BorgSSL им бы лучше подошло.
     
     
  • 2.14, Аноним (-), 11:24, 21/06/2014 [^] [ответить]    [к модератору]
  • +4 +/
    BotnetSSL
     
  • 2.16, anonymous (??), 12:11, 21/06/2014 [^] [ответить]    [к модератору]
  • +30 +/
    Я BolgenSSL сначала прочитал. Испугался.
     
     
  • 3.48, Аноним (-), 23:26, 21/06/2014 [^] [ответить]     [к модератору]
  • +1 +/
    Это как раз было бы менее страшно А вот мания гугла хавать все до чего дотянутс... весь текст скрыт [показать]
     
     
  • 4.60, cmp (ok), 19:07, 22/06/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Да я вот тоже не пойму в чем прикол, прослойка безопасности SSL должна добавля... весь текст скрыт [показать]
     
     
  • 5.66, Аноним (-), 15:52, 25/06/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    ASSL вам в помощь Потому что одна отвёртка для всего на свете - это, конечно, к... весь текст скрыт [показать]
     
     
  • 6.67, Аноним (-), 16:08, 25/06/2014 [^] [ответить]     [к модератору]  
  • +/
    Понабежало тут спецов, тудыть-растудыть Нормальная либа криптографии должна выг... весь текст скрыт [показать]
     
  • 2.24, ILYA INDIGO (ok), 13:23, 21/06/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Мы Борг! Мы вас ассимилируем! Сопротивление бесполезно!
     
  • 1.2, Аноним (2), 09:37, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    Ну все... Теперь opennssl побьет по форкам количество дистров линукса. Н
     
     
  • 2.30, Психиатр (ok), 15:23, 21/06/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    ждём с нетерпением
    systemd-ssld и libsystemd-ssl
     
  • 1.3, Аноним (-), 09:52, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    а как же libressl ?
     
     
  • 2.4, Аноним (-), 10:02, 21/06/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    А ты прочитай новость целиком и узнаешь.
     
     
  • 3.7, Аноним (-), 10:07, 21/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    прочти вопрос "меж строк"
    вопрос был к тому: почему бы не слить свои патчи в либре, зачем плодить сущности, если они даже перелицензировали часть кода чтобы отдавать либре
    так понятнее?
     
     
  • 4.9, бедный буратино (ok), 10:17, 21/06/2014 [^] [ответить]    [к модератору]  
  • +11 +/
    Потому что в libressl большое число изменений от google нафиг не нужно.

    ps. Пока вы не поймёте, как это работает, вам бесполезно что-то объяснять. Для вас это кубики, и вы видите движение кубиков, но не видите всю картину. Поэтому в КАЖДОЙ новости будут одни и те же сопли "зачем нужны форки", "NIH-синдром" (который большинство употребляет, даже не понимая его сути и причин возникновения термина) и так далее.

    Но главную тайну я открою: многие исходят из практичности. Не из "форков надо больше", "форков надо меньше", "идеологически правильно" или "идеологически неправильно", а из того, что именно они хотят сделать, и как ИМ будет удобнее это сделать. Это только анонимы на форуме любят поучать других с помощью набора штампов "выучи эти термины и стань руководителем любого проекта за полчаса".

     
  • 2.49, Аноним (-), 23:30, 21/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > а как же libressl ?

    В ней гугл обнаружил фатальный недостаток...

     
     
  • 3.53, Elhana (ok), 02:28, 22/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Все написано же.. Гугл хочет ломать API/ABI, LibreSSL не хочет.
     
     
  • 4.56, Аноним (-), 05:37, 22/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > LibreSSL не хочет.

    И очень зря, btw. Потому что то что есть в openssl - это пи...ц.

     
     
  • 5.62, Stellarwind (?), 15:07, 23/06/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Они собираются объявлять куски API устаревшими, но пока их кто-то использует они... весь текст скрыт [показать]
     
     
  • 6.68, Аноним (-), 16:10, 25/06/2014 [^] [ответить]     [к модератору]  
  • +/
    В результате весь этот хлам таскает уйму несекурного кода Логично что потом баг... весь текст скрыт [показать]
     
  • 1.6, Аноним (-), 10:06, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    А RussianSSL будет, чтобы не зависеть от западных компаний?
     
     
  • 2.10, бедный буратино (ok), 10:18, 21/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > А RussianSSL будет, чтобы не зависеть от западных компаний?

    взять libressl и закинуть обратно gost. вот и весь сказ :)

     
  • 2.11, Аноним (-), 10:21, 21/06/2014 [^] [ответить]    [к модератору]  
  • +6 +/
    И поддерживать будет только ГОСТы, ага
     
  • 2.50, XoRe (ok), 23:46, 21/06/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > А RussianSSL будет, чтобы не зависеть от западных компаний?

    OtechestvenayaSSL, не меньше, иначе не пропустят.

     
     
  • 3.61, t28 (?), 10:20, 23/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > OtechestvenayaSSL

    С неканонiчнъми символами в названии, не прокатит.

    Предлагаю: ПравославУБС.

     
  • 1.12, Аноним (-), 11:02, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    С очередными закладками гугла?
     
  • 1.13, Аноним (-), 11:09, 21/06/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Как в воду глядел Завтра Google предоставят форки Wayland для Android, Nginx ... весь текст скрыт [показать]
     
     
  • 2.26, Аноним (-), 13:50, 21/06/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    А сегодня в Wayland  найдут 100500 уязвимостей
     
     
  • 3.74, Anime (?), 12:54, 14/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Те же самые Google через Fuzzy тестирование
     
  • 2.51, XoRe (ok), 23:47, 21/06/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    > и разумеется новую ОС для
    > серверов на базе Linux (ещё один форк Linux)

    Вы удивитесь, goobuntu

     
  • 1.15, ананим (?), 11:50, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    > Лэнгли

    Символично.

     
     
  • 2.20, Аноним (-), 12:48, 21/06/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Эх, не успел :)
     
  • 1.17, Аноним (-), 12:33, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    О, круто, давайте создадим три несовместимые версии OpenSSL, вместо того, чтобы объединить усилия и пофиксить OpenSSL.

    // b.

     
     
  • 2.19, Аноним (-), 12:47, 21/06/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    RSS и Atom идеально сосуществуют. В чём проблема?
     
     
  • 3.27, Аноним (-), 14:09, 21/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Какой из них API?

    // b.

     
  • 2.29, Аноним (-), 14:42, 21/06/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > объединить усилия и пофиксить OpenSSL

    В результате получатся n+1 несовместимых версий OpenSSL.

     
     
  • 3.54, Elhana (ok), 02:30, 22/06/2014 [^] [ответить]    [к модератору]  
  • +/
    >> объединить усилия и пофиксить OpenSSL
    > В результате получатся n+1 несовместимых версий OpenSSL.

    Как-то так, да: http://xkcd.com/927/

     
     
  • 4.58, Аноном (?), 09:48, 22/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Вечно актуальная картинка. Текущий год едва за серидину перевалил а ее можно было уже раз 7 запостить.
     
     
  • 5.69, Аноним (-), 16:10, 25/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > серидину

    Эх, каникулы у двоечников начались :(.

     
  • 4.59, Аноним (-), 09:48, 22/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Не совсем так, но где-то так. Суть в том, что доламывать то, что уже сломано, всё равно придётся.
     
  • 2.64, Аноним (-), 15:33, 25/06/2014 [^] [ответить]     [к модератору]  
  • +/
    Разрабы OpenSSL приложили немало усилий, чтобы добится появления реальных форков... весь текст скрыт [показать]
     
  • 1.18, Аноним (-), 12:46, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Гугль скоро создаст свой интернет, в который можно войти тоько через хром или андроид.
     
  • 1.21, Аноним (-), 12:57, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > реализация расширения Intel SHA

    Перенесена из OpenSSL 1.0.2.

     
  • 1.31, Аноним (-), 16:08, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Госта там тоже не будет? Нафиг ненужно.
     
     
  • 2.32, Психиатр (ok), 16:14, 21/06/2014 [^] [ответить]    [к модератору]  
  • +4 +/
    форкните форк.

    обзовите GostSSL и назло всем выпилите все алгоритмы кроме гостов.

     
     
  • 3.34, Аноним (-), 17:07, 21/06/2014 [^] [ответить]    [к модератору]  
  • +/
    а после засунуть все эти четыре форка опенссля в редхет совтваре коллекционз и попытаться взлететь
     
  • 2.40, arisu (ok), 20:14, 21/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > Госта там тоже не будет? Нафиг ненужно.

    согласен, гост там нафиг не упёрся никому.

     
  • 1.33, Аноним (-), 16:51, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > реализация расширения Intel SHA,

    Вау, АНБшные трояны в каждый дом!!!

     
  • 1.35, Аноним (-), 17:29, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Так гугль или АНБ представила? :)

    Вспоминаются сказочки как гениальные ученые "изобрели гугль" и стали миллионерами :) Прям как Бил Гейц в свое время :))

     
     
  • 2.36, Аноним (-), 18:54, 21/06/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    справедливости ради следует отметить, что гейц ничего кроме коррупции в ИТ не из... весь текст скрыт [показать]
     
     
  • 3.46, Аноним (-), 23:19, 21/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Он еще васик написал. Хоть и не изобрел.
     
  • 2.37, Аноним (-), 19:37, 21/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    А где почитать правду про Гугл?
     
     
  • 3.52, pavlinux (ok), 01:26, 22/06/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    http://google.com/ :)
     
     
  • 4.57, Аноним (-), 05:38, 22/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > http://google.com/ :)

    Да, а про недостатки винды честно расскажут на microsoft.com :)

     
     
  • 5.65, Аноним (-), 15:34, 25/06/2014 [^] [ответить]    [к модератору]  
  • +/
    >> http://google.com/ :)
    > Да, а про недостатки винды честно расскажут на microsoft.com :)

    Так вам правду или недостатки?

     
     
  • 6.71, Аноним (-), 16:16, 25/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > Так вам правду или недостатки?

    Поскольку идеал по определению недостижим, недостатки являются частью правды. А вот попытка подтасовки ответа - это типичный прием MS-ботов.

     
  • 6.73, arisu (ok), 18:26, 25/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > Так вам правду или недостатки?

    потрясающий по своей красоте и наивности вопрос. рассказ о недостатках, значит — это заведомо ложь.

     
  • 3.55, rob pike (?), 02:52, 22/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Можете начать с "Larry Page's brother Carl Page had experience with venture capitalists, having sold eGroups to Yahoo for $432 million"
     
  • 1.38, Аноним (-), 20:09, 21/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Потому что заметить уязвимости в коде десяти форков гораздо легче чем в коде одного проекта.
     
     
  • 2.41, Аноним (-), 20:18, 21/06/2014 [^] [ответить]    [к модератору]  
  • –4 +/
    Голословное утверждение. То что базарная разработка кишит багами - факт. Линуксокапец наступает.
     
     
  • 3.47, Аноним (-), 23:23, 21/06/2014 [^] [ответить]     [к модератору]  
  • +/
    Это тоже Изначально багов имхо примерно одинаково Потому что програмеры - челов... весь текст скрыт [показать]
     
     
  • 4.63, Аноним (-), 15:10, 25/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Можно подумать, ты до опенсорсного мантайнера доорешься со своим патчем. А если и доорешься, то не факт, что патч возьмут. Разумеется, ты всегда можешь сделать форк... нутыпонел.
     
     
  • 5.70, Аноним (-), 16:15, 25/06/2014 [^] [ответить]     [к модератору]  
  • +/
    Проверял и так и сяк Опенсорс намного больше понравился Там можно сразу доорат... весь текст скрыт [показать]
     
  • 5.72, arisu (ok), 18:22, 25/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > Можно подумать, ты до опенсорсного мантайнера доорешься со своим патчем.

    ты знаешь, орать не пробовал. а вот ежели почтой электрической писать — отвечают. за багрепорты благодарят, а ежели к репортам ещё и патчи приложены, то в большинстве случаев ответ приходит вида «thank you. integrated in commit …».

    так что если ты не можешь «доораться» — попробуй не орать, а письма писать. а если твои патчи не берут… может, просто багрепортами тогда будешь обходиться, раз твой код такое гуано?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor