Только недавно обновился, а тут нате Вам и релиз

http://openssl.org/

29-Mar-2010: OpenSSL 1.0.0 is now available, a major release

--

К слову, у кого ProFTPd можете столкнуться со следующим (и подобным):

# /etc/rc.d/rc.proftpd start
Starting ProFTPd:  - mod_sftp/0.9.7: compiled using OpenSSL version 'OpenSSL 0.9.8m 25 Feb 2010' headers, but linked to OpenSSL version 'OpenSSL 0.9.8n 24 Mar 2010' library
[18265]

да, вполне важное предупреждение,
программы слинкованные с OpenSSL 0.9.8 могут перестать работать,
это касается не только proftpd , но и mod_ssl (apache) и даже openssh (!)

Запрашивает Миша Рыцаревъ

Так а я так и не понял, а что это такое и для чего эта вещь предназначена? Что на нем делают? (где лучше об этом читать?). А какие коммерческие аналоги у него существуют? А после вот этих всех улучшений сможет ли он теперь полностью заменить свои коммерческие аналоги? (а те сколько стоят?)

Ну, гентушнеги, раскаивайтесь еще раз.. весь слинкованный с openssl софт придется персобирать, хе-хе!

про ГОСТ-ы ничего :-\
http://cryptocom.ru/OpenSource/OpenSSL_rus.html

Ну может час времени в фоне, когда уйдёшь обедать и комп всё равно простаивать будет... Зато преимущества ощутимые.

глаза подсвечивают ночной путь в туалет? Или вы какие-то другие ощутимые преимущества имели ввиду?

# Новая ENGINE для алгоритма GOST;
# SSL/TLS поддержка шифрования GOST;
# Поддержка PKCS#7 и CMS для GOST;

так сделали же вроде? как и по ссылке описано

Глаза и прочему сильнее помогает RSIBreak. И от ОС, дистрибутива, тулкита и т.д. это не зависит. Так что тролилизм не к теме.

Свершилось

1.0

порядок сборки под mingw теперь другой :(. потому поживу пока на 0.9.8.

А какая твоя функция, кроме самостеба?

А что значит 1.0. Что произошло, что смогли обозвать таким красивым номером?

>Ну, гентушнеги, раскаивайтесь еще раз.. весь слинкованный с openssl софт придется персобирать, хе-хе!

старые версии либы остаются, не хочешь - не пересобирай. так что, ламо, учись тролить успешнее

>Ну может час времени в фоне, когда уйдёшь обедать и комп всё равно простаивать будет

да это вантузятники тролят. проснулись из анабиоза 10 летнего и думают что удачно тролят устаревшими шутками. моя статистика использования на протяжении 4 лет показывает что в среднем на компиляцию уходит 5 минут в день 100% использования одного процессора. постпроцессинг при просмотре видео у меня существенно больше потребляет

вообще-то релиз 0.9.8 был более 4 лет назад,
после этого вышли только исправления ошибок b c d e f g h i j k l m n
без добавления каких-либо новых возможностей.

Хм. То есть можно считать, что интерфейс стабилизировался в соответствии с текущими стандартами международными?

добавили то, что было востребовано, для России например стандарты шифрования ГОСТ

OpenSSL 1.0.0 beta-1 вышла год назад, так что пакет достаточно оттестирован .
Там выше hizel кинул достаточно полезную ссылку по поводу ГОСТов.

тут был вброс по поводу коммерческих аналогов

http://openssl.org/support/funding/contract.html

openssl тоже имеет коммерческую поддержку, от 10 тыс до 50 тыс долларов в год стоит, есть «разовая»

хорошие у них цены

Хочешь иметь deprecated софт - генту предоставляет и такую возможность! (кстати, это по времени тоже несколько ограничено). Но генту дает возмжность иметь свой личный лейаут! Вива ля гента! Костыли на все случаи жизни.

ЗЫ не стоит применять термины, в применимости которых нет уверенности.

в среднем на компиляцию уходит 5 минут в день

А иногда целый день перепоганивается

Ну нифига себе без добавлений! В 0.9.8f появилась поддержка TLS extension.

>программы слинкованные с OpenSSL 0.9.8 могут перестать работать,

О, нет, кошмар, что же делать?!! Мы все умрем?! Как страшно жить!!11

Эпохальненько.

> Мы все умрем?!

Обязательно, не волнуйся.

совместимость с CryptoPRO

А как у нее с совместимостью с CryptoPRO ? Допустим, тепрь можно письмами обмениваться шифрованными? Походит-ли формат ключей\сертификатов, выдаваемых уполномоченными на то центрами РФ ?

Скажите, Вы дурак?

>Ну, гентушнеги, раскаивайтесь еще раз.. весь слинкованный с openssl софт придется персобирать, хе-хе!

И что? У арчеводов же просто не будет работать, и они откатятся на старую версию. А убунтоводы всякие не смогут поставить этот релиз до какого нибудь 10.10, пока в репах не появится

> Ну, гентушнеги, раскаивайтесь еще раз.. весь слинкованный с openssl софт придется персобирать, хе-хе!

Пересобирать придётся весь, его кстати не так уж и много, проблема в том, что не весь соберётся.

php и ruby не соберется точно, остальное собирается на ура

Новые общие утилиты API публичных ключей;

translate.google.com?

Нет возможности работать с приватным ключом ГОСТ, для RSA можно делать openssl rsa, а вот с ГОСТом он не работает.

Поздравляю!

Ничего себе тут цензура! Я что, копнул что-то запретное?

Дело в том, что даже в России ГОСТы нужны только «сертифицированные»...

Сертифицировать же OpenSSL — без шансов. :) Из=за требования поэкземпляроного учета при дистрибуции, например.

Ну, гентушнеги, раскаивайтесь еще раз.. весь слинкованный с openssl софт придется персобирать, хе-хе!

будто бы вам качать не придется?
не мало конечно (в моем случае) но и не катастрофа вовсе -

~ $ equery depends openssl
 * These packages depend on openssl:
app-admin/gkrellm-2.3.4 (ssl ? dev-libs/openssl)
app-admin/syslog-ng-3.0.5 (ssl ? dev-libs/openssl)
app-crypt/qca-ossl-2.0.0_beta3-r1 (>=dev-libs/openssl-0.9.6)
app-misc/ca-certificates-20090709 (dev-libs/openssl)
dev-db/mysql-5.1.45-r1 (ssl ? >=dev-libs/openssl-0.9.6d)
dev-lang/php-5.2.12 (mcve ? >=dev-libs/openssl-0.9.7)
dev-lang/python-2.6.5-r1 (ssl ? dev-libs/openssl)
dev-lang/python-3.1.2-r1 (ssl ? dev-libs/openssl)
dev-libs/cyrus-sasl-2.1.23-r1 (ssl ? >=dev-libs/openssl-0.9.6d)
dev-perl/Crypt-SSLeay-0.57 (>=dev-libs/openssl-0.9.7c)
dev-perl/Net-SSLeay-1.36 (dev-libs/openssl)
dev-vcs/git-1.7.0.3 (!blksha1 ? dev-libs/openssl)
mail-client/mutt-1.5.20-r13 (ssl ? >=dev-libs/openssl-0.9.6)
mail-mta/postfix-2.6.5-r1 (ssl ? >=dev-libs/openssl-0.9.6g)
                          (ssl ? dev-libs/openssl)
net-analyzer/net-snmp-5.4.2.1-r3 (ssl ? >=dev-libs/openssl-0.9.6d)
net-analyzer/nmap-5.21 (ssl ? dev-libs/openssl)
net-analyzer/tcpdump-4.0.1_pre20090709 (ssl ? >=dev-libs/openssl-0.9.6m)
net-dns/bind-tools-9.6.1_p3 (ssl ? dev-libs/openssl)
net-irc/xchat-2.8.6-r2 (ssl ? >=dev-libs/openssl-0.9.6d)
net-libs/libssh-0.4.1 (!gcrypt ? >=dev-libs/openssl-0.9.8)
net-libs/openslp-1.2.1-r1 (dev-libs/openssl)
net-misc/curl-7.20.0-r2 (!nss ? dev-libs/openssl)
net-misc/neon-0.29.3 (ssl ? >=dev-libs/openssl-0.9.6f)
net-misc/ntp-4.2.6 (ssl ? dev-libs/openssl)
net-misc/openssh-5.4_p1 (>=dev-libs/openssl-0.9.6d)
net-misc/openvpn-2.1.0-r1 (ssl ? >=dev-libs/openssl-0.9.6)
net-misc/wget-1.12-r1 (ssl ? >=dev-libs/openssl-0.9.6b)
net-wireless/wpa_supplicant-0.7.1 (ssl ? dev-libs/openssl)
www-client/lynx-2.8.8_pre2 (!gnutls ? >=dev-libs/openssl-0.9.8)
www-misc/htdig-3.2.0_beta6-r3 (ssl ? dev-libs/openssl)
www-servers/nginx-0.8.34-r1 (ssl ? dev-libs/openssl)
x11-base/xorg-server-1.7.6 (dev-libs/openssl)
x11-libs/qt-core-4.6.2-r1 (ssl ? dev-libs/openssl)

меньше часа. впрочем я не буду обновлять...

А иногда целый день перепоганивается

это с какого бодуна? при правильном подходе ниче никуда не перепоганивается...

какая там максимальная длина ключа? 4Кб? юмористы

По CMS скорее всего совместим, по TLS нет. Как такового стандарта на использование TLS с ГОСТом нет, поэтому никто и не сделал до сих пор. Да и не нужно, зачем его сращивать с КриптоПро если он никогда не будет сертифицирован?

Формат ключей наших УЦ (кстати вы таковые знаете?), который КриптоПРО - закрытый и поддерживаться в OpenSSL точно не будет. А если бы и поддерживался, то смысл в использовании ГОСТа без сертификата?

не, там качество лучше!

Кстати, а как у них с TLS 1.1, 1.2? В GnuTLS из коробки, а в openssl-0.9.8 не было.

Ага.

Мажорненько. Греет душу почти как wine 1.0 и немного как KDE 4.0. Обновляться не буду.

//О какой цензуре говорят анонимусы? Удалённых в нити вроде бы нет...

>Сертифицировать же OpenSSL — без шансов

Криптоком в таком случае волшебники http://www.cryptocom.ru/cryptopacket.html

Формат ключей наших УЦ (кстати вы таковые знаете?), который КриптоПРО - закрытый и поддерживаться в OpenSSL точно не будет. А если бы и поддерживался, то смысл в использовании ГОСТа без сертификата?

Что значит закрытый? Все прекрасно генерируется, поддерживается и используется для TLS. Просто алгоритм добавили, а вот поддержку работы с приватными ключами из командной строки приделать забыли, но это всего лишь недароботка, не более.

«Новый обобщенный API для публичных ключей поддерживающий ENGINE алгоритмы»

И вообще, я так понял, что теперь в OpenSSL можно стандартным способом добавлять другие алгоритмы шифрования. Кстати, эта функция была добавлена специально под ГОСТ (на сайте Криптокома есть подробности).

Вообще, отлично. Теперь ждём сертифицированный УЦ на OpenSSL, а Криптопро в топку ;)

> если он никогда не будет сертифицирован?

Уже ;) (и уже ответили). Но в любом случае, применение сертифицированной библиотеки в программном обеспечении требует проверок на корректность встраивания, так что готовое «изделие» также надо будет сертифицировать, и таки да, поэкземплярно учитывать. Другое дело, что сертификат может быть выдан на производство (как ФСТЭК, например, сделал с AltLinux Server).

То есть просто поставить дистрибутив и использовать ГОСТ не значит, что ты исполняешь требования ФСБ и ФСТЭК.

Формат ключей наших УЦ (кстати вы таковые знаете?), который КриптоПРО - закрытый

Формат открыт, это те же PKCS. Рекомендуются к изучению RFC: http://www.ietf.org/rfc/rfc4491.txt и http://www.ietf.org/rfc/rfc4490.txt

программы слинкованные с OpenSSL 0.9.8 могут перестать работать

ахренеть

>Удалённых в нити вроде бы нет...

Это такой тонкий расчет, что сейчас анонимусы ломонутся под своими акками? ;)

Сертифицировать и продавать решение как «свое» — возможно, хоть и геморройно. А вот попробуйте добиться от ФСБ сертификата о том, что всякий скаченный с сайта openssl релиз — кошерен. :)

Про ключи и УЦ я не говорил, но со сказавшим согласен. «Наших» УЦ, кстати, — как грязию. От «Крипто-Про», от «Инфотекса», от «Лан_Крипто» (хоть там и не ГОСТ). От Валидаты/МОПНИЭИ, опять же. «Закрытым» является формат секретного ключа. С секретными ключами вообще бардак у нас в Отечестве творится. Каждый производитель хранит ключи как хочет. друг от друга прячет форматы.

Поддержку ключей из командной строки добавят, и даже в PKCS#7 (может быть). Но смысла использовать отечественную криптографию в «несертифицированном виде» все равно не вижу.

а чего раскаиваться? revdep-rebuild должен помочь :-)

> Ну, гентушнеги, раскаивайтесь еще раз.. весь слинкованный с openssl софт придется персобирать, хе-хе!

а чего раскаиваться? revdep-rebuild должен помочь :-)