The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от opennews (??) on 11-Дек-15, 12:29 
Началось (http://permalink.gmane.org/gmane.comp.encryption.openssl.ann...) тестирование альфа-выпуска новой ветки библиотеки OpenSSL 1.1.0 (https://www.openssl.org) с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Новая ветка включает изменения, нарушающие обратную совместимость на уровне API. Релиз намечен на 28 апреля. Поддержка выпуска OpenSSL 1.0.2 будет осуществляться до 31 декабря 2019 года, а 1.0.1 - до 31 декабря 2016 года. Время жизни веток 0.9.8 и 1.0.0 истекает через несколько недель, 31 декабря 2015 года.


Основные новшества (https://www.openssl.org/news/openssl-1.1.0-notes.html) OpenSSL 1.1.0:


-  В  libcrypto  и libssl интегрированы потоковый шифр ChaCha20 (http://cr.yp.to/chacha.html) и алгоритм аутентификации сообщений (MAC) Poly1305 (http://cr.yp.to/mac.html), разработанные Дэниелом Бернштейном (Daniel J. Bernstein (http://cr.yp.to/djb.html)), Таней Ланге
(Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 можно рассматривать, как более быстрые и безопасные аналоги AES-256-CTR и HMAC,  программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальных аппаратных ускорителей;

-  Прекращена поддержка устаревших технологий, в том числе удалены компоненты, обеспечивающие работу SSLv2, Kerberos, 40- и 56-разрядных шифров. Из набора шифров по умолчанию исключён алгоритм RC4;
-  В libcrypto и libssl добавлена поддержка асинхронных криптографических операций;
-  Поддержка TLS-расширения Extended Master Secret (RFC 7627 (https://tools.ietf.org/html/rfc7627));
-  Интеграция набора блочных шифров CCM (https://en.wikipedia.org/wiki/CCM_mode);
-  Переработка тестового набора, который переписан на Perl с использованием модулей  Test::Harness и Test::More;
-  Скрыты многие внутренние структуры libssl и libcrypto, в том числе BIGNUM, EVP_MD, EVP_MD_CTX и HMAC_CTX.

-  Переписаны реализация конечного автомата для SSL/TLS, код согласования версий протокола и слой обработки записей;
-  Операции с эллиптическими кривыми переведены на новый метод EC_KEY_METHOD;
-  В libcrypto добавлен режим работы с блочными шифрами OCB (https://en.wikipedia.org/wiki/OCB_mode) (Offset Codebook Mode);
-  Все публичные заголовочные файлы перенесены в директорию include/openssl (ранее использовались символические ссылки).


URL: http://permalink.gmane.org/gmane.comp.encryption.openssl.ann...
Новость: http://www.opennet.ru/opennews/art.shtml?num=43503

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  –3 +/
Сообщение от Аноним (??) on 11-Дек-15, 12:29 
OpenSSL (стабильный) – это такая шутка?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +5 +/
Сообщение от Имя EMail Заголовок Текст on 11-Дек-15, 12:48 
А что не так? Дыры находят в любом софте. А тут популярная софтина, используемая в криптографии.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 17:06 
>Дыры находят в любом софте.

OpenSSL разрабатывается The OpenSSL Project, основанный бывшим консультантом ЦРУ Steve Marquess, спонсируемый Министерство внутренней безопасности США, и Министерство обороны США
https://en.wikipedia.org/wiki/OpenSSL
>Heartbleed

Уязвимость позволяющая читать память сервера ... не оставляет следов в логах...
> Разработчик форка Bob Beck
> https://www.youtube.com/watch?v=GnBbhXBDmwU

...Они используют то, что мы назвали "методы противодействия предотвращению уязвимостей"... Очень эфективные...
>https://youtu.be/GnBbhXBDmwU?t=8m40s

... собственная реализация malloc, делающие статический анализ инструментами типа valgrind бесполезным...
https://youtu.be/GnBbhXBDmwU?t=8m49s
... но что хуже они все что должно удалятся из памяти - использованные приватные ключи например, остается в памяти.
>https://youtu.be/GnBbhXBDmwU?t=7m21s

Я не вижу разницы между openssl и Stuxnet от того же производителя.

Или, если кратко, Я считаю, что Openssl это замаскированное вредоносное ПО.
Используйте более безопасные свободные альтернативы.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 17:51 
>Используйте более безопасные свободные альтернативы.

Свободные альтернативы это какие? Форки OpenSSL? Так а их кто финансирует, не выяснится ли что это те же заинтересованные люди ну или другие им подобные персонажи и компании вроде Google, отношение которых к личным данным пользователей всем хорошо известно.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

35. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 14-Дек-15, 14:57 
* GnuTLS
* NSS
* mbed SSL (бывшая PolarSSL)
* wolfSSL (бывшая yaSSL)
* Botan
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +1 +/
Сообщение от Буратино on 11-Дек-15, 18:08 
>собственная реализация malloc

Такая собственная, просто не могу:
https://github.com/openssl/openssl/blob/master/crypto/mem.c#L76
>static void *(*malloc_func) (size_t) = malloc;

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +1 +/
Сообщение от Аноним (??) on 11-Дек-15, 19:10 
Он говорит о OPENSSL_malloc который и используется для выделения памяти внутри библиотеки.
https://github.com/openssl/openssl/search?utf8=Б°⌠&q=openssl_malloc
Который (OPENSSL_malloc) в свою очередь использует буферизующий список объектов freelist
https://github.com/openssl/openssl/blob/21e0c1d23afff48601eb...
благодаря чему и утекали приватные ключи, чего не было бы используй они malloc/free
Подробнее смотри http://article.gmane.org/gmane.os.openbsd.misc/211963
Вся эта история попахивает. Очень уж удобная дырка была.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 19:12 
> https://github.com/openssl/openssl/search?utf8=Б°⌠&q=openssl_malloc

Парсер - лох!

https://github.com/openssl/openssl/search?&q=openssl_malloc

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 19:21 
Также смотри https://www.openssl.org/policies/codingstyle.html

                Chapter 14: Allocating memory

OpenSSL provides the following general purpose memory allocators:
OPENSSL_malloc(), OPENSSL_realloc(), OPENSSL_strdup() and OPENSSL_free().

В лучшем случае это велосипедирование. В лучшем.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  –2 +/
Сообщение от manster (ok) on 11-Дек-15, 19:18 
Раньше была байка, что проект спонсировался от Дойче-банка...

И потом, госконторы, едва-ли способны создать что полноценное открытое, тем более подобные проекты. В конце концов, наличие консультанта еще мало что значит.

Если бы лазейки были, то не было бы столько воплей...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  –2 +/
Сообщение от manster (ok) on 11-Дек-15, 19:20 
>[оверквотинг удален]
>>https://youtu.be/GnBbhXBDmwU?t=8m40s
> ... собственная реализация malloc, делающие статический анализ инструментами типа valgrind
> бесполезным...
> https://youtu.be/GnBbhXBDmwU?t=8m49s
> ... но что хуже они все что должно удалятся из памяти -
> использованные приватные ключи например, остается в памяти.
>>https://youtu.be/GnBbhXBDmwU?t=7m21s
> Я не вижу разницы между openssl и Stuxnet от того же производителя.
> Или, если кратко, Я считаю, что Openssl это замаскированное вредоносное ПО.
> Используйте более безопасные свободные альтернативы.

Это какие?

Никто не спорит, что альтернативы SSL нужны. Но их пока нет в широком применении.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 19:37 
Как же нет? Браузеры, например не используют OpenSSL, а они широко распространены.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от manster (ok) on 11-Дек-15, 19:50 
попробуйте ими открыть и непринужденно пользоваться: google.com, twitter.com, facebook.com ...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 19:54 
Браузерами? Я открываю и непринужденно пользуюсь. И без всяких openSSL.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

29. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 13-Дек-15, 15:28 
> Браузерами? Я открываю и непринужденно пользуюсь. И без всяких openSSL.

Ты в этом уверен?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой..."  –1 +/
Сообщение от arisu (ok) on 13-Дек-15, 15:45 
> Ты в этом уверен?

ну, я уверен. Pale Moon (и firefox) не используют OpenSSL.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой..."  +/
Сообщение от Аноним (??) on 13-Дек-15, 17:19 
>> Ты в этом уверен?
> ну, я уверен. Pale Moon (и firefox) не используют OpenSSL.

Анимешники не авторитет :)

То, что на другой стороне сидит openssl - это, конечно, ничего не означает.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой..."  –1 +/
Сообщение от arisu (ok) on 13-Дек-15, 17:21 
> То, что на другой стороне сидит openssl - это, конечно, ничего не
> означает.

конечно. мне‐то какая разница? *я* спокойно пользуюсь этим всем без OpenSSL. а что там они используют — мне безразлично.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

22. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 20:26 
> Как же нет? Браузеры, например не используют OpenSSL, а они широко распространены.

веб-сайты - разные бывают. веб-сервисы и SOAP - вовсю юзают, кое-где.
не  https-ом единым ик кукисами - жив онлайн, кто-то пишет и серьезные апликухи для, с дву-трех-факторной авторизацией а не "на паролях абы". вы кстати частью их конечных продуктов - наверняка пользуетесь.


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой..."  +/
Сообщение от arisu (ok) on 11-Дек-15, 21:34 
> серьезные апликухи
> OpenSSL

наф саид.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

17. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 19:39 
Из раздела юмор нашего городка. Главная страница matrixssl
>Note: All versions of MatrixSSL are unaffected by the recent OpenSSL "Heartbleed" bug.
>Note: MatrixSSL is not affected by the POODLE vulnerability: SSL 3.0 is disabled by default since version 3.3.1 on July 16, 2012.
>Note: All versions of MatrixSSL are unaffected by "Weak keys" attack.
>Note: All versions of MatrixSSL are unaffected by the July 2015 OpenSSL cerificate validation bug.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 21:39 
Сказки неуловимого Джо.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

6. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +3 +/
Сообщение от . on 11-Дек-15, 15:56 
нет, дорогой друг, это ты просто полез в область, в которую тупым пользователям лазить не надо. Соответственно, и терминологией в ней не владеешь.

Понятие "стабильный" в данном случае означает ровно одно: что интерфейсы меняться не будут. В данном случае "предварительный" - что в принцпе возможны изменения, ломающие совместимость. То есть попробовать пособираться с новыми фичами можно, если есть время и вдохновение, но если ресурсы проекта ограничены - лучше подождать анонса стабильной версии, чтобы не делать двойной работы.

И все это предназначено не тебе, а программистам. Ставь обновления из дистрибутива, и не выделывайся.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 16:50 
> нет, дорогой друг, это ты просто полез в область, в которую тупым пользователям лазить не надо.

LibreSSL и s2n

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

3. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  –4 +/
Сообщение от Аноним (??) on 11-Дек-15, 14:05 
Надеюсь, Ланге не феминистка, и у них не возникнет таких промблем, которые возникли у разработчиков ядра.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от evkogan on 11-Дек-15, 15:28 
C каких пор Kerberos стал устаревшим?
Кто может пояснить как теперь реализовывать Kerberos авторизацию в apache?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от evkogan on 11-Дек-15, 15:40 
Посмотрел похоже у mod_auth_kerb собственная реализация, не связанная с libssl. Так что все нормально.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

21. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 20:24 
"broken by design" вещи обычно еще до начала внедрения.
сиречь всюду где приложили руку или ам ведомства или компании ~
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

20. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  –2 +/
Сообщение от Аноним (??) on 11-Дек-15, 20:24 
лучше бы вместо CTR, XTS, CBC замшелых - выкатили поддержку EAX потоков крипто (что OCB появился - хорошо, да истЪ гудЪ!! труЪ как и OCW) для начала) или пофиксили GCM чуток.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 11-Дек-15, 21:11 
ChaCha20 и Poly1305 пора в каждый проц в железе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от 808 (??) on 12-Дек-15, 02:16 
Чем ниже уровень реализации, тем меньше доверия вызывает... на сколько всякие Интелы и АМДы независимы от АНБы, а АРМы от бритиш интелиджэнс сервисез... сё чё надо зашьют прям в жэлезе, и хоть ты какой бизапасный софт рули - оне всё запедалят на харте... давно педалят...
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  –1 +/
Сообщение от Аноним (??) on 12-Дек-15, 09:04 
так линукс поверх libastral не работает, соотв - Приходится юзать некоторый хард, тело для души компьютеров )
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от Аноним (??) on 13-Дек-15, 15:29 
> так линукс поверх libastral не работает, соотв - Приходится юзать некоторый хард,
> тело для души компьютеров )

Да, а производить массово полностью открытые процессоры - это не мешки ворочать, верно?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и..."  +/
Сообщение от pavlinux (ok) on 13-Дек-15, 22:02 
Когда ЧачуПоли в браузёры внедрят?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру