The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск криптографической библиотеки LibreSSL 3.3.0

25.11.2020 11:46

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 3.3.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 3.3.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.9.

Особенности LibreSSL 3.3.0:

  • Реализована поддержка экспорта ключей для TLSv1.3.
  • Проведена чистка обработчика записей DTLS и продолжена переработка обработчиков записей TLSv1.2. Функция DTLSv1_enc_data() заменена на TLSv1_1_enc_data().
  • Упрощён метод TLS, за счёт удаления специфичных для клиента и сервера внутренних методов.
  • Улучшена реализация команды "openssl ocsp" и переработана утилита ocspcheck.
  • Реализации функции getentropy на платформе Windows переведена на использование генератора псевдослучайных чисел CNG (Cryptography Next Generation). Поддержка wincrypt объявлена устаревшей.
  • В новом коде проверки X.509 реализованы дополнительные обработчики ошибок в сертификатах и реализован вывод кодов ошибок для проблем, специфичных для самоподписанных сертификатов.
  • Устранены утечки памяти в обработчиках X.509.


  1. Главная ссылка к новости (https://marc.info/?l=openbsd-a...)
  2. OpenNews: Выпуск криптографической библиотеки LibreSSL 3.2.0
  3. OpenNews: Выпуск криптографической библиотеки Sodium 1.0.18
  4. OpenNews: Google представил открытый стек OpenSK для создания криптографических токенов
  5. OpenNews: Выпуск криптографической библиотеки wolfSSL 4.4.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/54142-libressl
Ключевые слова: libressl, ssl, crypt, openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, leibniz (ok), 11:51, 25/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    За ГОСТы «из коробки» спасибо им, конечно.
     
     
  • 2.2, Аноним (2), 11:56, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо или "спасибо"?
     
     
  • 3.3, leibniz (ok), 12:15, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +14 +/
    да
     
     
  • 4.5, Аноним (5), 12:28, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так точно
     
  • 3.4, Аноним (4), 12:19, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть два стула… Стрибог и ко это емнип что-то уровня DES и той же степени надёжности, но вроде бы они необходимы для взаимодействия с госпорталами и всякими эцп, так что тут без вариантов: либо ты получишь доступ, либо нет.
     
     
  • 4.7, Ivan_83 (ok), 13:13, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не вижу проблемы чтобы держать и очевидно слабые алгоритмы в либе, типа 3des, rc4, md4, md5 - они тоже иногда бывают нужны.
     
     
  • 5.11, Аноним (4), 13:27, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это пока не нашли очередной бэкдор сбрасывающий твоё соединение до уязвимой крипты.
     
     
  • 6.23, Аноним (23), 17:05, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну занесите их в blacklist^W denylist
     
  • 4.8, Самый Лучший Гусь (?), 13:14, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Ну и зачем оно нужно, когда есть стандартные SHA, AES и прочие, которыми пользуються во всём мире? Только себе палки в колёса вставлять, ей богу.
     
     
  • 5.10, Ононимус (?), 13:16, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зато своё, прав^Wотечественное
     
  • 5.12, ryoken (ok), 13:27, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Читал, что AES - пропихнутый АНБ потенциально уязвимый\бэкдоренный Rijndael.
     
     
  • 6.15, Аноним (4), 13:42, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Читал, что AES - пропихнутый АНБ потенциально уязвимый\бэкдоренный Rijndael.

    Ты имеешь в виду "ослабленный" Rijndael, что таки имеет место быть. Во всяком случае, я слышал такую информацию неоднократно. Министерство обороны СГА устанавливает минимальные требования для различных уровней секретности данных, вероятно, более слабые варианты проще и быстрее расшифровать и сделать это за обозримое время.

     
     
  • 7.20, Аноним (20), 14:24, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >вероятно, более слабые варианты проще и быстрее расшифровать и сделать это за обозримое время

    Это делается абсолютно произвольно с учетом на то, сколько десятилетий или столетий информация должна храниться зашифрованной и с прогнозом на то, как скоро усилятся вычислительные технологии. Они не делают это для того, чтобы, например, прямо сейчас что-то начать брутфорсить, если им приспичит. Плохие шифры обычно объявляют устаревшими и перестают использовать.

    >более слабые варианты

    Под вариантами ты имеешь в виду лишь размеры ключей у шифров, которые (актуальные) сейчас никак не возможно сломать.

    Например, RSA 1024 объявили устаревшим и стали использовать 2048, как самый минимум. По прогнозу его должно хватить до 2030 года.

    Что касается AES, даже 128 бит без квантовых компьютеров не планируют испытывать.

    https://en.wikipedia.org/wiki/Key_size

    В теории, если бы они хотели, то могли бы использовать сильнейшие шифры абсолютно везде, это бы ничего не изменило, разве что, кроме скорости обработки данных.

     
     
  • 8.32, Аноним (32), 20:43, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Слабое место AES не в размере ключа, а в малом числе раундов, особенно со 192-би... текст свёрнут, показать
     
  • 6.16, Аноним (20), 13:46, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А ничего, что алгоритм открыт и математически проверен? Почитай лучше историю создания.
     
     
  • 7.21, zzz (??), 15:34, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как и ГОСТ. Что нисколько не мешает васянам орать про закладки. Но AES - это совсем другое (с)
     
  • 7.24, Аноним (23), 17:08, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Алгоритм - да, проверен. Но херовыми параметрами (S-box) этот алгориьм можно неплохо ослабить.
     
     
  • 8.31, Sw00p aka Jerom (?), 20:31, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уверены математически Временем хоть как-то А не херовые проверены и сколько ... текст свёрнут, показать
     
  • 8.39, Аноним (39), 12:34, 26/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Емнип, S-боксы для 28147 тоже опубликованя в открытом доступе варианты ЦБ РФ и ... текст свёрнут, показать
     
  • 6.17, Аноним (20), 13:49, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уязвимыми в этом случае могут быть лишь его имплементации.
     
  • 5.25, Annoynymous (ok), 17:33, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Почитай увлекательную историю Crypto AG и про то, как немцы прослушивали Меркель.
     
     
  • 6.42, Аноним (-), 21:40, 28/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не немцы, а американцы
     
     
  • 7.43, Annoynymous (ok), 22:05, 29/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не немцы, а американцы

    Ой, да.

     
  • 5.33, Аноним (-), 20:54, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Своя шифровая система для того и нужна, что подрозумевается, что USA спец службы имеют доступ к своим шифрам к каким-то. А мы можем подрозумевать, что к нашим шифрам есть доступ наших спец служб. А как оно на самом деле мне неизвесно.
     
     
  • 6.34, Аноним (32), 22:39, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    AES выбирался на конкурсной основе открыто. ГОСТы разрабатывались за закрытыми дверями. Таки есть небольшая разница.
     
     
  • 7.40, Аноним (39), 12:41, 26/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > AES выбирался на конкурсной основе открыто. ГОСТы разрабатывались за закрытыми дверями.
    > Таки есть небольшая разница.

    Примерно такая же, как между свалкой коммитов от кого ни попадя, именуемой "открытым проектом", и корпоративным продуктом, написанным отобранными HR-отделом программистами по корпоративным стандартам под свист кнута тимлида.

     
     
  • 8.41, тимлид (?), 20:31, 26/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, это вот этими вот, которым чтоб войтивойти даже образования не надо https ... текст свёрнут, показать
     
  • 4.19, Аноним (19), 14:05, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > для взаимодействия с госпорталами и всякими эцп, так что тут без вариантов: либо ты получишь доступ, либо нет.

    И что libressl уже полностью хватает? Крыптопро больше не надо?

     
  • 4.26, Аноним (32), 17:34, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Стрибог и ко это емнип что-то уровня DES и той же степени надёжности

    …заключил типичный опеннетовский эксперт. Его нисколько не смутило, что он сравнил алгоритм хеширования с алгоритмом симметричного шифрования.

     
     
  • 5.27, Аноним (4), 17:41, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Но ведь в данном контексте это не важно? Степень надёжности очень зависит от исходной конфигурации, и тут в наличии бэкдор мерещится.
     
     
  • 6.30, Аноним (32), 20:28, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В контексте опеннетовских комментариев — абсолютно неважно.
     
  • 4.28, YetAnotherOnanym (ok), 18:23, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Стрибог и ко это емнип что-то уровня DES и той же степени надёжности

    Да ты просто реально эксперт в криптографии! Сказал бы, что Стрибог и ко это что-то уровня пляшущих человечков - ващще был бы светило и корифей.

     
     
  • 5.29, Аноним (4), 18:40, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Прекрасная аргументация, браво!
     

  • 1.6, Аноним (6), 12:56, 25/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Почему не на Dlang?
     
     
  • 2.9, Ононимус (?), 13:15, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не труъ
     

  • 1.14, Аноним (14), 13:41, 25/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жалко в Qt эта либа не поддерживается: https://bugreports.qt.io/browse/QTBUG-68374
     
     
  • 2.18, mikhailnov (ok), 13:58, 25/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну как не поддерживает...
    https://github.com/gentoo/libressl/blob/master/dev-qt/qtnetwork/files/qtnetwor
    -#if OPENSSL_VERSION_NUMBER >= 0x10101006L
    +#if OPENSSL_VERSION_NUMBER >= 0x10101006L && !defined(LIBRESSL_VERSION_NUMBER)
    и это весь патч сейчас
    Но отключает часть функционала
     
  • 2.35, Аноним (35), 01:21, 26/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживается патчами, применяемыми в портах OpenBSD.
     

  • 1.36, marios (ok), 09:01, 26/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Много лет использовал LibreSSL в Gentoo, мэйнтейнеры уже подняли поддержку на хороший уровень, есть проблемный софт, но он патчится.

    Теперь есть признаки, что в будущем появятся проблемы в сборке Telegram Desktop, поэтому переполз обратно на OpenSSL. Пишут, что он уже не так дыряв, как ранее.

    Дистрибутив Void Linux также планирует сползти взад на OpenSSL.

     
     
  • 2.37, Аноним (37), 09:13, 26/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Дистрибутив Void Linux также планирует сползти взад на OpenSSL.

    Пруф?

     

  • 1.38, Онанем (?), 10:26, 26/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Устранены утечки памяти в обработчиках X.509

    А они чо, БЫЛИ?

    Если в криптографической библиотеке есть утечки памяти, то это не криптографическая библиотека, имхо.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру