The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.08.2016 20:04  Значительный выпуск криптографической библиотеки OpenSSL 1.1.0

После более полутора лет разработки состоялся релиз библиотеки OpenSSL 1.1.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Новая ветка включает изменения, нарушающие обратную совместимость на уровне API. Поддержка выпуска OpenSSL 1.1.0 будет осуществляться до 30 апреля 2018 года, выпуск 1.0.2 будет поддерживаться до 31 декабря 2019 года, а 1.0.1 - до 31 декабря 2016 года.

Основные новшества OpenSSL 1.1.0:

  • В libcrypto и libssl интегрированы потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 можно рассматривать, как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальных аппаратных ускорителей;
  • Добавлен движок AFALG, который использует netlink-интерфейс AF_ALG для доступа к криптографическому API ядра Linux;
  • Прекращена поддержка устаревших технологий, в том числе удалены компоненты, обеспечивающие работу SSLv2, Kerberos, 40- и 56-разрядных шифров. Из набора шифров по умолчанию исключены алгоритмы RC4 и 3DES;
  • Реализован новый многопоточный API;
  • В libcrypto и libssl добавлена поддержка асинхронных криптографических операций;
  • Поддержка TLS-расширения Extended Master Secret (RFC 7627);
  • Интеграция набора блочных шифров CCM;
  • Переработка тестового набора, который переписан на Perl с использованием модулей Test::Harness и Test::More;
  • Скрыты многие внутренние структуры libssl и libcrypto, в том числе BIGNUM, EVP_MD, EVP_MD_CTX и HMAC_CTX.
  • Переписаны реализация конечного автомата для SSL/TLS, код согласования версий протокола и слой обработки записей;
  • Операции с эллиптическими кривыми переведены на новый метод EC_KEY_METHOD;
  • В libcrypto добавлен режим работы с блочными шифрами OCB (Offset Codebook Mode);
  • Поддержка "pipelining" для одновременной обработки нескольких криптографических операций в рамках одного соединения;
  • Поддержка аутентификации хостов через DANE TLSA (DNS-based Authentication of Named Entities, RFC6698/RFC7671);
  • Представлена новая унифицированная система сборки;
  • Переработана сетевая библиотека BIO, в которой обеспечена полная поддержка IPv6;
  • Добавлены новые уровни безопасности;
  • Поддержка алгоритма scrypt;
  • Поддержка алгоритма X25519 (RFC 7748), предложенного Дэниэлом Бернштейном (D. J. Bernstein);
  • Поддержка KDF (Key Derivation Function) и HKDF (HMAC-based Extract-and-Expand Key Derivation Function). Доступна реализация TLS PRF в виде KDF;
  • Поддержка стандарта Certificate Transparency для мониторинга и аудита цифровых сертификатов;
  • Все публичные заголовочные файлы перенесены в директорию include/openssl (ранее использовались символические ссылки).


  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: В OpenSSL и LibreSSL устранены опасные уязвимости
  3. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
  4. OpenNews: Google перешел c OpenSSL на BoringSSL
  5. OpenNews: Проект OpenSSL переходит на лицензию Apache и вводит в практику CLA-соглашение
  6. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.0.2
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Ilya Indigo, 20:12, 25/08/2016 [ответить] [смотреть все]
  • +/
    Давно интересует вопрос, если модуль openssl для PHP, собрать с сабжем, то в этом модуле появиться возможность шифровать с Poly1305/ChaCha20 сама собой, или для этого в коде самого модуля нужно будет явно добавить поддержку оного?
     
     
  • 2.7, h31, 22:52, 25/08/2016 [^] [ответить] [смотреть все]
  • +2 +/
    > возможность шифровать с Poly1305/ChaCha20

    Если речь про использование в SSL/TLS - нет, код модуля менять не нужно. Может быть придется изменить строку с набором используемых шифров, сделать ChaCha20 более приоритетным, но 99%, что в модуле уже есть функция для этого.
    Если хочешь использовать ChaCha20 именно как криптопримитив, в отрыве от всяких сетевых протоколов, то да, придется добавлять поддержку. Хотя там менять немного, у OpenSSL есть абстракция (EVP) для шифров.

     
  • 1.3, Аноним, 20:30, 25/08/2016 [ответить] [смотреть все]
  • +/
    Второй релиз же был?
     
     
  • 2.4, Аноним, 20:32, 25/08/2016 [^] [ответить] [смотреть все]
  • +/
    Небыло, был кандидат в релизы.
     
  • 1.5, nuclight, 20:41, 25/08/2016 [ответить] [смотреть все]
  • –1 +/
    > Скрыты многие внутренние структуры libssl и libcrypto, в том числе BIGNUM, EVP_MD, EVP_MD_CTX и HMAC_CTX.

    Опаньки. А LibreSSL тем же путем пойдет?

     
     
  • 2.8, h31, 22:55, 25/08/2016 [^] [ответить] [смотреть все]  
  • +/
    > Опаньки. А LibreSSL тем же путем пойдет?

    У них сейчас API на уровне OpenSSL 1.0.1. Т.е. даже до 1.0.2 полностью не довели. Так-то их дело, может и скроют, но очень вряд ли и скорее всего очень нескоро.

     
     
  • 3.14, Аноним, 17:33, 27/08/2016 [^] [ответить] [смотреть все]  
  • +/
    API там мхом поросшее сознательно by design а вот Само - у них как раз Быстрее... весь текст скрыт [показать]
     
  • 1.9, Аноним, 00:26, 26/08/2016 [ответить] [смотреть все]  
  • +/
    Кто-то может сделать адекватное сравнение возможностей openssl 1 1 0 и libressl ... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 14:33, 29/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты сам Это СПО, деточка Тебе никто ничего не обязан ... весь текст скрыт [показать]
     
  • 1.10, Аноним, 03:28, 26/08/2016 [ответить] [смотреть все]  
  • –1 +/
    Гост не добавили еще?
     
     
  • 2.11, Онаним, 06:51, 26/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    *) The GOST engine was out of date and therefore it has been removed. An up
         to date GOST engine is now being maintained in an external repository.
         See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains
         support for GOST ciphersuites (these are only activated if a GOST engine
         is present).
         [Matt Caswell]
     
  • 2.15, Аноним, 12:19, 28/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    В глобальном масштабе - совершеннейшее ненужно с Кто хочет - может прилепить п... весь текст скрыт [показать]
     
  • 2.18, Аноним, 10:53, 02/09/2016 [^] [ответить] [смотреть все]  
  • +/
    А зачем может быть нужен ГОСТ сегодня Если только для каких-то стареньких сисит... весь текст скрыт [показать]
     
  • 1.13, Я. Р. Ош, 00:13, 27/08/2016 [ответить] [смотреть все]  
  • +/
    scrypt годнота
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor