The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск криптографической библиотеки LibreSSL 3.8.0

28.05.2023 22:53

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 3.8.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 3.8.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 7.4. Одновременно сформированы стабильные выпуски LibreSSL 3.6.3 и 3.7.3, в которых исправлено несколько ошибок.

Особенности LibreSSL 3.8.0:

  • Добавлена поддержка усечённого варианта SHA-2 и SHA-3.
  • Начат процесс чистки и переработки внутреннего кода SHA.
  • Переписаны внутренние функции BN_exp() и BN_copy(). Заменена реализация функции BN_mod_sqrt().
  • В ассемблерных вставках для архитектуры AMD64 задействованы инструкции endbr64 (Terminate Indirect Branch).
  • Из BoringSSL перенесён код для проверки правил, определённых в RFC 5280.
  • Продолжен перевод libcrypto на использование интерфейсов CBB (bytebuilder) и CBS (bytestring).
  • Обходным путём решены проблемы, приводящие к нарушению разделения привилегий в libtls из-за изменений в OpenSSL 3.
  • Прекращена поддержка прокси-сертификатов (RFC 3820), GF2m, API X9.31, режима CTS (Cipher Text Stealing), SXNET, NETSCAPE_CERT_SEQUENCE, POLICY_TREE, а также опасных быстрых реализаций операций с простыми числами и эллиптическими кривыми от NIST, таких как EC_GFp_nist_method().


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск криптографической библиотеки LibreSSL 3.7.0
  3. OpenNews: Уязвимость в OpenSSL и LibreSSL, приводящая к утечке содержимого памяти
  4. OpenNews: Выпуск криптографической библиотеки LibreSSL 3.6.0
  5. OpenNews: Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов
  6. OpenNews: OpenSSL 3.0 получил статус LTS. Выпуск LibreSSL 3.5.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59209-libressl
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:08, 28/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Оно ж мертво уже несколько лет, смысл? Даже из генту выкинули. Вот же людям заняться нечем.
     
     
  • 2.3, Ivan_83 (ok), 03:55, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да кому та гента нужна :)
    Как юзал на FreeBSD так и дальше юзаю либру.
     
     
  • 3.9, Аноним (1), 10:52, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно. А фряха самолично патчит весь софт? Или ты насобирал кривого мусора, каждой программе своего, и сидишь довольный?
     
     
  • 4.11, Ivan_83 (ok), 12:32, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Часть софта я сам патчю и отдаю патчи во фрю и в апстрим, или беру с апстрима и втаскиваю в порты патчами.
     
     
  • 5.12, Аноним (12), 12:54, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Часть софта я сам патчю и отдаю патчи во фрю и в

    Классика бздуневодства: вместо того чтобы просто сорвать^W скачать готовый дистр с сабжем и софтом из коробки или хотя бы подождать ебилдов - нужно пердолится самому с какими-то патчами и апстримами ...

     
     
  • 6.14, Ivan_83 (ok), 13:56, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вам с таким подходом на венду или мак, а в опенсорце либо ждать либо делать самому.
    Вот я как раз тот кто делает сам, а потом такие ждуны как вы получают ебилды с моми патчами.
     
     
  • 7.18, Аноним (18), 17:19, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а как ты уговорил работодателя поставить на продакшн "libressl с моими наколенными патчами = патчами от Васяна"? или ты ему просто не говорил? ssl - это чуть ли не самая критичная часть системы, максимум в топе-2 по критичности. Я туда постеснялся бы впендюривать патчи даже от признанных мировых авторитетов по криптографии, если их патчи не прошли ревью от десятков других мировых авторитетов. А тут патчи от Васяна в стиле "сам себя поревьюил, компилится и ладно".
     
     
  • 8.19, Ivan_83 (ok), 17:58, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А вы вообще читали Я патчил не libressl а проекты которые с ним собираются, что... текст свёрнут, показать
     
     
  • 9.21, Аноним (18), 18:12, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, для тебя утилитарная, для всех остальных - критичная или не суди всех по ... текст свёрнут, показать
     
     
  • 10.22, Ivan_83 (ok), 18:29, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1 Мои патчи касательно поддержки libressl взяли везде в проектах куда я их прис... текст свёрнут, показать
     
  • 10.23, Ivan_83 (ok), 18:32, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    5 Последний раз объясняю для не понимающих я в крипту не лезу, меня волнует то... текст свёрнут, показать
     
  • 7.32, Аноним (32), 14:17, 03/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > потом такие ждуны как вы получают ебилды с моми патчами.

    Никого не жду. Сам пишу патчи для LibreSSL и поддерживаю оверлей с ебылдами патченными под либру.

     
  • 5.13, Аноним (1), 12:55, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Получается, ты из тех, у кого компилируется равно работает? Понимаю, но не понимаю.
     
     
  • 6.15, Ivan_83 (ok), 13:58, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как правило все проблемы сводятся к тому что оно не видит нужные функции при сборке и это решается заменой условий в #ifdef на нужные цифры.
    Случаи когда каких то функций нет совсем - редкие, такое я обычно в апстрим репортю, если они сами ещё не сделали.
     

  • 1.2, Аноним (2), 02:24, 29/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жаль, что непонятно, на какой ветке OpenSSL основана эта версия.
    В OpenSSL 3.x с производительностью TLS всё очень плохо, и совершенно неясно, куда бежать.
    LibreSSL пилит команда Тео, так что они скорее всего такими мелочами, как производительность, запариваться не будут. BoringSSL - штука сугубо для статической сборки под андроид-приложения, все остальные применения - на свой страх и риск. WolfSSL - типа под embedded, максимальная экономия памяти в ущерб производительности.
     
     
  • 2.4, Ivan_83 (ok), 03:56, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кому нужна производительно используют кернельный ТЛС, который в юзерспейсе только согласования ключей делает.
     
     
  • 3.5, Аноним (5), 05:28, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кому нужна производительность, те используют аппаратные шифраторы, которые в юзерспейсе вообще ничего не делают.
     
     
  • 4.7, Илья (??), 07:14, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ламели на р141 ?
     
  • 2.6, Аноним (18), 06:36, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    че вы там такое делаете, что tls является бутылочным горлышком?
     
     
  • 3.8, Ivan_83 (ok), 10:50, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, может у него железо дохлое.
    Нетфликс вон по 140 гигабит с одного сервера в ТЛС раздаёт, и аппаратных ускорителей там нет, не считая AES-NI в проце.
     
     
  • 4.10, EULA (?), 11:51, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С одного сервера и я могу раздавать с любого старого сервера столько гигабит, которые способен выдавать дисковый массив и/или суммарная пропускная способность всех сетевых интерфейсов, смотрящих на клиентов. А шифровать весь трафик будет какой-нибудь эмбедед шлюз для каждого подключения.
     
     
  • 5.16, Ivan_83 (ok), 14:00, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А вот у них всё один сервер и раздаёт и шифрует.
     
     
  • 6.29, EULA (?), 05:41, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так сервер поди из нескольких нод состоит...
     
     
  • 7.31, Ivan_83 (ok), 10:50, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте уже их презентации, хватит выдумывать.
     
  • 4.17, Kuromi (ok), 17:17, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А какой на самом деле смысл гнать видео по HTTPS если оно, видео, все равно закодировано с помощью DRM (Widewine например)? Даже перехватив его ничего внятного не получится выудить.
     
     
  • 5.20, Ivan_83 (ok), 18:01, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не факт что закодировано, у них вроде до 720p идёт без особой защиты ДРМ.
     
     
  • 6.27, Kuromi (ok), 21:13, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Не факт что закодировано, у них вроде до 720p идёт без особой
    > защиты ДРМ.

    Вовсе нет, у Амазон и Нетфликса видео качеством выше 720 можно сомтреть только в Edge под виндой с Интелловским процессором и последними апдейтами ОС. Вот для 720p они и Widewine считают достаточным. О кине без DRM (что кстати встречается на Кинопоиске) речи не идет у них вовсе.

     
  • 5.24, пох. (?), 19:18, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    иначе есть риск что модный современный безопасТный Браузер если еще не сегодня то точно уже завтра покажет вместо твоего видео пустое место.

     
     
  • 6.26, Kuromi (ok), 21:11, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > иначе есть риск что модный современный безопасТный Браузер если еще не сегодня
    > то точно уже завтра покажет вместо твоего видео пустое место.

    Да на Нетфликс как бы пофиг, он не был интересен даже тогда официально был доступен, что до остальных, то Кинопоиск - это Яндекс, а Окко - Сбер. Никуда не денутся (чего не скажешь о фильмах в каталоге).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру