The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Google представила BoringSSL, форк OpenSSL

21.06.2014 09:14

Компания Google опубликовала репозиторий с исходными текстами проекта BoringSSL, в рамках которого ведётся разработка независимого форка OpenSSL. Проект включает наработки, которые уже используется в Google для усиления безопасности OpenSSL. За годы в Google создано большое число патчей к OpenSSL, около 70 из которых не были приняты в основной состав OpenSSL, так как они носили экспериментальный характер или приводили к нарушению API или ABI. Теперь эти патчи легли в основу проекта BoringSSL. Разработку BoringSSL возглавил Адам Лэнгли (Adam Langley, agl), известный эксперт по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS и сетевой стек Chrome.

Развитию BoringSSL как открытого проекта способствовала недавняя череда серьёзных уязвимостей в OpenSSL, GnuTLS и SSL-реализации от компании Apple, которые были вызваны ошибками, находящимися в коде длительное время и остававшимися незамеченными. Всё это вызвало интерес по использованию усиливающих безопасность OpenSSL патчей в Android, Chrome и других продуктах. Поддерживать работу большого числа внешних патчей поверх OpenSSL является достаточно сложной задачей. Поэтому решено сменить модель их поддержания и вместо адаптации патчей к изменяющейся кодовой базе OpenSSL перейти к развитию самодостаточного форка, в который будут импортироваться изменения из OpenSSL.

Код BoringSSL скоро будет добавлен в репозиторий Chromium, а в дальнейшем возможно появится в составе платформы Android. Сохранение совместимости с OpenSSL на уровне API и ABI не гарантируется. При этом, BoringSSL не позиционируется как замена OpenSSL. Google продолжит передачу исправлений ошибок и важных изменений в OpenSSL и будет оказывать финансовую поддержку данному проекту. Кроме того, создатели BoringSSL намерены организовать сотрудничество с LibreSSL, форком OpenSSL от проекта OpenBSD. Для организации обмена кодом с LibreSSL компания Google уже перелицензировала часть своих патчей под лицензией ISC, что позволит наладить взаимный обмен патчами.

Из изменений можно отметить:

  • удаление нереализованных функций,
  • сокращение числа поддерживаемых форматов в ClientHello,
  • обеспечения одновременной поддержки старого и нового алгоритмов поиска сертификатов X.509,
  • реализация функции OPENSSL_str[n]casecmp,
  • удаление макросов DANE,
  • ограничение _X509_CHECK_FLAG_DOT_SUBDOMAINS только внутренним применением,
  • изменение метода проверки имени хоста по маске,
  • реализация расширения Intel SHA,
  • поддержка асинхронного поиска сеансов,
  • возможность использования только SHA-256 в клиентских сертификатах,
  • поддержка ChannelID,
  • реализация безопасных одноразовых кодов для (EC)DSA,
  • новая реализация функции tls1_change_cipher_state,
  • поддержка SSL AEAD, использование интерфейса AEAD в EVP и AES-GCM,
  • поддержка шифров ChaCha20-Poly1305, ECDHE-PSK-WITH-AES-128-GCM-SHA256,
  • рефакторинг ssl3_send_client_verify,
  • новые функции для определения принадлежности семействам шифров.


  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: В OpenSSL выявлены уязвимости, позволяющие вклиниться в транзитный трафик и организовать выполнение кода
  3. OpenNews: Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов
  4. OpenNews: Проект OpenBSD представил LibreSSL, форк OpenSSL
  5. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  6. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
Лицензия: CC-BY
Тип: Интересно / Программы
Короткая ссылка: https://opennet.ru/40049-openssl
Ключевые слова: openssl, boringssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (63) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:35, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    BorgSSL им бы лучше подошло.
     
     
  • 2.14, Аноним (-), 11:24, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    BotnetSSL
     
  • 2.16, anonymous (??), 12:11, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +30 +/
    Я BolgenSSL сначала прочитал. Испугался.
     
     
  • 3.48, Аноним (-), 23:26, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я BolgenSSL сначала прочитал. Испугался.

    Это как раз было бы менее страшно. А вот мания гугла хавать все до чего дотянутся начинает напоминать майкрософт. И закончится так же - большой кучей фуфела, на нормальное содержание коего не хватило ресурсов даже у гугеля.

     
     
  • 4.60, cmp (ok), 19:07, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да я вот тоже не пойму в чем прикол, прослойка безопасности (SSL) должна добавлять к стандартным : open, read, write, close, ну и с прицелом на сеть: socket, listen, bind, свои реализации: ssl_open, и т. д., ну какой ни какой функционал для работы с сертификатами, тут справится даже студент, алгоритмы шифрования/подписи/проверки лучше дядям посерьезнее доверить, но технически - прогнать буфер перед отправкой через алгоритм элементарно, а они что делают?

    Лепят "системные" конфиги в которых прописан тот или иной параметр, который можно переопределить через аргументы командной строки, либо переменные окружения, либо переопределив изначальный конфиг, какого лешего столько заморочек, есть куча убогих контейнеров аля mp3 или avi, с которыми народ еб..ся много лет, почему не реализовать "свободный" (в плане добавлениия в него инфы любого типа) свободный (в плане интелектуальной собственность) или готовый взять, и добавлять туда отдельные сертификаты, шифрованные или нет.

    И вот вам ssl.

    Кароче сами себе создали проблему на пустом месте, а спустя годы пытаются оживить покойника припарками.

     
     
  • 5.66, Аноним (-), 15:52, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ASSL вам в помощь Потому что одна отвёртка для всего на свете - это, конечно, к... большой текст свёрнут, показать
     
     
  • 6.67, Аноним (-), 16:08, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Понабежало тут спецов, тудыть-растудыть. Нормальная либа криптографии должна выглядеть ... ну как NaCl берштейна. Особенно в виде TweetNaCl. Простое апи, где облажаться толком негде. И безопасные дефолты. Вот так оно даже секурным может быть. А сетевой протокол может выглядеть ... ну, как CurveCP например. В 20 раз проще любого SSL/TLS и при этом предлагает все лучшее что в принципе можно из TLS выжать, будучи гуру. А тут оно просто дефолтные свойства протокола. Учитесь как надо, лузеры.
     
  • 2.24, ILYA INDIGO (ok), 13:23, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы Борг! Мы вас ассимилируем! Сопротивление бесполезно!
     

  • 1.2, Аноним (2), 09:37, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Ну все... Теперь opennssl побьет по форкам количество дистров линукса. Н
     
     
  • 2.30, Психиатр (ok), 15:23, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ждём с нетерпением
    systemd-ssld и libsystemd-ssl
     

  • 1.3, Аноним (-), 09:52, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    а как же libressl ?
     
     
  • 2.4, Аноним (-), 10:02, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А ты прочитай новость целиком и узнаешь.
     
     
  • 3.7, Аноним (-), 10:07, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    прочти вопрос "меж строк"
    вопрос был к тому: почему бы не слить свои патчи в либре, зачем плодить сущности, если они даже перелицензировали часть кода чтобы отдавать либре
    так понятнее?
     
     
  • 4.9, бедный буратино (ok), 10:17, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Потому что в libressl большое число изменений от google нафиг не нужно.

    ps. Пока вы не поймёте, как это работает, вам бесполезно что-то объяснять. Для вас это кубики, и вы видите движение кубиков, но не видите всю картину. Поэтому в КАЖДОЙ новости будут одни и те же сопли "зачем нужны форки", "NIH-синдром" (который большинство употребляет, даже не понимая его сути и причин возникновения термина) и так далее.

    Но главную тайну я открою: многие исходят из практичности. Не из "форков надо больше", "форков надо меньше", "идеологически правильно" или "идеологически неправильно", а из того, что именно они хотят сделать, и как ИМ будет удобнее это сделать. Это только анонимы на форуме любят поучать других с помощью набора штампов "выучи эти термины и стань руководителем любого проекта за полчаса".

     
  • 2.49, Аноним (-), 23:30, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а как же libressl ?

    В ней гугл обнаружил фатальный недостаток...

     
     
  • 3.53, Elhana (ok), 02:28, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Все написано же.. Гугл хочет ломать API/ABI, LibreSSL не хочет.
     
     
  • 4.56, Аноним (-), 05:37, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > LibreSSL не хочет.

    И очень зря, btw. Потому что то что есть в openssl - это пи...ц.

     
     
  • 5.62, Stellarwind (?), 15:07, 23/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они собираются объявлять куски API устаревшими, но пока их кто-то использует они не могут их так просто выпилить не сломав много софта. В отличие от гугла они позиционируют проект как замену openssl, а не как домашнюю библиотеку для своего собственного софта.
     
     
  • 6.68, Аноним (-), 16:10, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Они собираются объявлять куски API устаревшими, но пока их кто-то использует они
    > не могут их так просто выпилить не сломав много софта.

    В результате весь этот хлам таскает уйму несекурного кода. Логично что потом баги долбаются там и тут, возможны атаки типа даунгрейда протокола и прочие веселости.

     

  • 1.6, Аноним (-), 10:06, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    А RussianSSL будет, чтобы не зависеть от западных компаний?
     
     
  • 2.10, бедный буратино (ok), 10:18, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А RussianSSL будет, чтобы не зависеть от западных компаний?

    взять libressl и закинуть обратно gost. вот и весь сказ :)

     
  • 2.11, Аноним (-), 10:21, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    И поддерживать будет только ГОСТы, ага
     
  • 2.50, XoRe (ok), 23:46, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А RussianSSL будет, чтобы не зависеть от западных компаний?

    OtechestvenayaSSL, не меньше, иначе не пропустят.

     
     
  • 3.61, t28 (?), 10:20, 23/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > OtechestvenayaSSL

    С неканонiчнъми символами в названии, не прокатит.

    Предлагаю: ПравославУБС.

     

  • 1.12, Аноним (-), 11:02, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    С очередными закладками гугла?
     
  • 1.13, Аноним (-), 11:09, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как в воду глядел!
    "Завтра" Google предоставят форки Wayland для Android, Nginx для ультрамассовых соединений с многоуровневыми виртуалицациями, аналог C++, на котором ты пишешь так же легко, как на JS, но в итоге получается также быстро, как на C (GO из другой оперы) и разумеется новую ОС для серверов на базе Linux (ещё один форк Linux), но где будет всё, чего не хватало Гуглу (и нам всем), прямо из коробки и без костылей (сверхскорость/сверхудобство).
     
     
  • 2.26, Аноним (-), 13:50, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А сегодня в Wayland  найдут 100500 уязвимостей
     
     
  • 3.74, Anime (?), 12:54, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Те же самые Google через Fuzzy тестирование
     
  • 2.51, XoRe (ok), 23:47, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > и разумеется новую ОС для
    > серверов на базе Linux (ещё один форк Linux)

    Вы удивитесь, goobuntu

     

  • 1.15, ананим (?), 11:50, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Лэнгли

    Символично.

     
     
  • 2.20, Аноним (-), 12:48, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эх, не успел :)
     

  • 1.17, Аноним (-), 12:33, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    О, круто, давайте создадим три несовместимые версии OpenSSL, вместо того, чтобы объединить усилия и пофиксить OpenSSL.

    // b.

     
     
  • 2.19, Аноним (-), 12:47, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    RSS и Atom идеально сосуществуют. В чём проблема?
     
     
  • 3.27, Аноним (-), 14:09, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой из них API?

    // b.

     
  • 2.29, Аноним (-), 14:42, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > объединить усилия и пофиксить OpenSSL

    В результате получатся n+1 несовместимых версий OpenSSL.

     
     
  • 3.54, Elhana (ok), 02:30, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> объединить усилия и пофиксить OpenSSL
    > В результате получатся n+1 несовместимых версий OpenSSL.

    Как-то так, да: http://xkcd.com/927/

     
     
  • 4.58, Аноном (?), 09:48, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вечно актуальная картинка. Текущий год едва за серидину перевалил а ее можно было уже раз 7 запостить.
     
     
  • 5.69, Аноним (-), 16:10, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > серидину

    Эх, каникулы у двоечников начались :(.

     
  • 4.59, Аноним (-), 09:48, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем так, но где-то так. Суть в том, что доламывать то, что уже сломано, всё равно придётся.
     
  • 2.64, Аноним (-), 15:33, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > О, круто, давайте создадим три несовместимые версии OpenSSL, вместо того, чтобы объединить
    > усилия и пофиксить OpenSSL.

    Разрабы OpenSSL приложили немало усилий, чтобы добится появления реальных форков. Так что это им спасибо. Некоторые просто задолбались биться об стенку... А как вы бы решили такую проблему?

     

  • 1.18, Аноним (-), 12:46, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Гугль скоро создаст свой интернет, в который можно войти тоько через хром или андроид.
     
  • 1.21, Аноним (-), 12:57, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > реализация расширения Intel SHA

    Перенесена из OpenSSL 1.0.2.

     
  • 1.31, Аноним (-), 16:08, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Госта там тоже не будет? Нафиг ненужно.
     
     
  • 2.32, Психиатр (ok), 16:14, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    форкните форк.

    обзовите GostSSL и назло всем выпилите все алгоритмы кроме гостов.

     
     
  • 3.34, Аноним (-), 17:07, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а после засунуть все эти четыре форка опенссля в редхет совтваре коллекционз и попытаться взлететь
     
  • 2.40, arisu (ok), 20:14, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Госта там тоже не будет? Нафиг ненужно.

    согласен, гост там нафиг не упёрся никому.

     

  • 1.33, Аноним (-), 16:51, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > реализация расширения Intel SHA,

    Вау, АНБшные трояны в каждый дом!!!

     
  • 1.35, Аноним (-), 17:29, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так гугль или АНБ представила? :)

    Вспоминаются сказочки как гениальные ученые "изобрели гугль" и стали миллионерами :) Прям как Бил Гейц в свое время :))

     
     
  • 2.36, Аноним (-), 18:54, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Так гугль или АНБ представила? :)
    > Вспоминаются сказочки как гениальные ученые "изобрели гугль" и стали миллионерами :) Прям
    > как Бил Гейц в свое время :))

    справедливости ради следует отметить, что гейц ничего кроме коррупции в ИТ не изобретал

     
     
  • 3.46, Аноним (-), 23:19, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Он еще васик написал. Хоть и не изобрел.
     
  • 2.37, Аноним (-), 19:37, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А где почитать правду про Гугл?
     
     
  • 3.52, pavlinux (ok), 01:26, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    http://google.com/ :)
     
     
  • 4.57, Аноним (-), 05:38, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > http://google.com/ :)

    Да, а про недостатки винды честно расскажут на microsoft.com :)

     
     
  • 5.65, Аноним (-), 15:34, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> http://google.com/ :)
    > Да, а про недостатки винды честно расскажут на microsoft.com :)

    Так вам правду или недостатки?

     
     
  • 6.71, Аноним (-), 16:16, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Так вам правду или недостатки?

    Поскольку идеал по определению недостижим, недостатки являются частью правды. А вот попытка подтасовки ответа - это типичный прием MS-ботов.

     
  • 6.73, arisu (ok), 18:26, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Так вам правду или недостатки?

    потрясающий по своей красоте и наивности вопрос. рассказ о недостатках, значит — это заведомо ложь.

     
  • 3.55, rob pike (?), 02:52, 22/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Можете начать с "Larry Page's brother Carl Page had experience with venture capitalists, having sold eGroups to Yahoo for $432 million"
     

  • 1.38, Аноним (-), 20:09, 21/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Потому что заметить уязвимости в коде десяти форков гораздо легче чем в коде одного проекта.
     
     
  • 2.41, Аноним (-), 20:18, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Голословное утверждение. То что базарная разработка кишит багами - факт. Линуксокапец наступает.
     
     
  • 3.47, Аноним (-), 23:23, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > То что базарная разработка кишит багами - факт. Линуксокапец наступает.

    Это тоже
    > Голословное утверждение.

    Изначально багов имхо примерно одинаково. Потому что програмеры - человеки. А вот потом - в открытом проекте можно просто прийти и загасить баг. А до проприерасов - пока там доорешься...

     
     
  • 4.63, Аноним (-), 15:10, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать, ты до опенсорсного мантайнера доорешься со своим патчем. А если и доорешься, то не факт, что патч возьмут. Разумеется, ты всегда можешь сделать форк... нутыпонел.
     
     
  • 5.70, Аноним (-), 16:15, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Проверял и так и сяк Опенсорс намного больше понравился Там можно сразу доорат... большой текст свёрнут, показать
     
  • 5.72, arisu (ok), 18:22, 25/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно подумать, ты до опенсорсного мантайнера доорешься со своим патчем.

    ты знаешь, орать не пробовал. а вот ежели почтой электрической писать — отвечают. за багрепорты благодарят, а ежели к репортам ещё и патчи приложены, то в большинстве случаев ответ приходит вида «thank you. integrated in commit …».

    так что если ты не можешь «доораться» — попробуй не орать, а письма писать. а если твои патчи не берут… может, просто багрепортами тогда будешь обходиться, раз твой код такое гуано?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру