The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск криптографической библиотеки LibreSSL 3.2.0

01.06.2020 21:14

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 3.2.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 3.2.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.8.

Особенности LibreSSL 3.2.0:

  • Включена по умолчанию серверная часть TLS 1.3 в дополнение к ранее предложенной клиентской части. Реализация TLS 1.3 построена на базе нового конечного автомата и подсистемы работы с записями. Совместимый с OpenSSL TLS 1.3 API пока недоступен, но в команду openssl добавлены связанные с TLS 1.3 опции.
  • В подсистеме работы с записями улучшена проверка размера полей TLS 1.3 и обеспечен вывод предупреждения в случае превышения лимитов.
  • В TLS-сервере обеспечена обработка только корректных имён хостов в SNI, соответствующих требованиям RFC 5890 и RFC 6066.
  • В реализации TLS 1.3 добавлена поддержка режима SSL_MODE_AUTO_RETRY для автоматической повторной отправки сообщений согласования соединения.
  • В сервер и клиент TLS 1.3 добавлена поддержка отправки запросов проверки состояния сертификатов, используя расширение OCSP stapling (заверенный удостоверяющим центром ответ OCSP передаётся обслуживающим сайт сервером при согласовании TLS-соединения).
  • При вводе/выводе включён по умолчанию режим SSL_MODE_AUTO_RETRY, по аналогии с новыми выпусками OpenSSL.
  • Добавлены тесты на регрессию, сделанные на основе tlsfuzzer.
  • В команде "openssl x509" обеспечена пометка некорректного времени действия сертификата.
  • В TLS 1.3 с RSA разрешено использование только цифровых подписей PSS.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск криптографической библиотеки LibreSSL 3.1.1
  3. OpenNews: Выпуск криптографических библиотек LibreSSL 3.1.0 и Botan 2.14.0
  4. OpenNews: Доступна криптографическая хеш-функция BLAKE3, работающая в 10 раз быстрее SHA-2
  5. OpenNews: Google представил открытый стек OpenSK для создания криптографических токенов
  6. OpenNews: Выпуск криптографической библиотеки wolfSSL 4.4.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/53066-libressl
Ключевые слова: libressl, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:17, 01/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Почему не на языке F* с верификацией?
     
     
  • 2.2, Аноним (2), 21:25, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Потому что лично ты, аноним, не написал это. Только ты виноват в этом.
     
     
  • 3.5, Аноним (1), 22:14, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хорошо. Завтра перепишу весь OpenBSD.
     
     
  • 4.6, Аноним (6), 22:32, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вечером проверю.
     
     
  • 5.21, Аноним (1), 17:59, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Переписал.
     
  • 4.13, Сейд (ok), 00:23, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Добавь ещё BelT в LibreSSL, пожалуйста.
     

  • 1.3, InuYasha (?), 21:34, 01/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно ли просто
    apt remove openssl
    apt install libressl
    и чтоб всё работало?
     
     
  • 2.4, mikhailnov (ok), 21:50, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В ROSA можно, даже devel-пакеты openssl и libressl могут рядом стоять
     
     
  • 3.7, Аноним (7), 22:33, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А софт там с чем слинкован? Какой-то свой враппер?
     
     
  • 4.8, mikhailnov (ok), 23:03, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А софт там с чем слинкован? Какой-то свой враппер?

    Большинство софта слинковано с openssl, некоторый с libressl: wget c libressl, в curl собирается libcurl-libressl.so и curl-libressl дополнительно к основному варианту с openssl.
    Рантайм-враппер невозможен, т.к. совместимости ABI нет, есть совместимость API, но не полная. А, например, новый Qt не собирался с libressl, интересно, как в OpenBSD и Void Linux будут выкручиваться.
    Мы думали, не перевести ли Росу на libressl по умолчанию, но будет слишком много подобных сложностей на ровном месте.

     
     
  • 5.10, Аноним (10), 23:51, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А вот Альт не думает, а делает
     
     
  • 6.16, Аноним (16), 10:59, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это заметно.
     
  • 5.15, ппяп (?), 04:16, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/gentoo/libressl
    п▓я│п╣ qt я┌п╟п╪ я│п╬п╠п╦я─п╟я▌я┌я│я▐
     
     
  • 6.19, mikhailnov (ok), 17:30, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > https://github.com/gentoo/libressl

    ага, уже новую версию запатчили, когда в прошлый раз смотрел, еще не было патча. Видимо, пока что повезло и удалось просто выключить часть функционала, но с учетом того, что
    > [Upstream is not willing to accept any patches for LibreSSL support]

    использовать libressl в масштабах всей десктопной системы общего назначения - сомнительная идея.

     
  • 5.18, Аноним (18), 17:22, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > новый Qt не собирался с libressl, интересно, как в OpenBSD

    Локальные патчи для Qt для штатных пакетов в OpenBSD присутствуют, Рафаэль их потихоньку в апстрим пропихивает.

     
     
  • 6.20, mikhailnov (ok), 17:36, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> новый Qt не собирался с libressl, интересно, как в OpenBSD
    > Локальные патчи для Qt для штатных пакетов в OpenBSD присутствуют, Рафаэль их
    > потихоньку в апстрим пропихивает.

    Если там такие же патчи, как в https://github.com/gentoo/libressl/blob/master/dev-qt/qtnetwork/files/qtnetwor , то вряд ли такое возьмут в апстрим — создавать дополнительные комбинации в работе с помощью директив препроцессора (#if) мало кто хочет, т.к. такой код сложно поддерживать. LibreSSL по функционалу типа TLS 1.3 или еще чего-нибудь новенького очень вряд ли сможет идти в ногу с OpenSSL, будет догонять и отставать, как сейчас, а значит без #if обеспечивать ее поддержку будет либо невозможно, либо очень сложно, а значит ее, скорее всего, не будет и дальше.

     
  • 2.11, Ivan_83 (ok), 00:02, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Во фре это возможно, но софт придётся у себя пересобирать.
     
  • 2.14, steils (ok), 01:23, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://wiki.gentoo.org/wiki/Project:LibreSSL#Migration_from_openssl_to_libressl_-_Direction_for_users
     

  • 1.9, Аноним (9), 23:11, 01/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлены регрессивные тесты на основе tlsfuzzer.

    Может быть регрессионные?

     
  • 1.12, Ivan_83 (ok), 00:06, 02/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У либры есть класный свой API:
    http://www.openbsd.org/papers/linuxconfau2017-libtls/
    https://man.openbsd.org/tls_init.3
     
  • 1.17, Аноним (17), 14:14, 02/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Слава Тео де Раадту!
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру