LINUX.ORG.RU

libsodium 1.0.0 — первый стабильный выпуск криптографической библиотеки

 , , ,


2

1

Состоялся первый стабильный выпуск библиотеки libsodium, позиционируемой разработчиками в качестве современной и простой в использовании библиотеки для шифрования, хеширования и работы с цифровыми подписями. Исходный код распространяется по лицензии ISC.

Проект libsodium образован в 2013 в качестве форка NaCl, сохранив полную совместимость по API, но обладая при этом гораздо лучшей переносимостью (поддерживаются платформы Linux, *BSD, Mac OS, Windows, iOS и Android). libsodium и NaCl просты в освоении и предоставляют хоть и небольшой, но зато проверенный набор безопасных методов, в то время, как аналоги, наподобие OpenSSL, перегружены избыточной функциональностью, в которой периодически обнаруживаются уязвимости.

Основные изменения:

  • Стабилизация API и ABI. Новые возможности будут добавляться с оглядкой на поддержание обратной совместимости с веткой 1.x;
  • Исправлена некорректная работа функции crypto_sign() с перекрывающимися областями;
  • Расширен набор тестов.

>>> Подробности

anonymous

Проверено: Licwin ()

Исходный код распространяется по лицензии ISC.

FSF по-прежнему рекомендует не пользоваться данной лицензией[2], так как фраза Permission to use, copy, modify, and/or distribute this software.... была в своё время использована Вашингтонским университетом как основание для утверждения об отсутствии разрешения на распространение изменённых копий.

nuff said!

Indexator ★★★ ()

в SSL и TLS, работу с сертификатами, как я вижу, не умеет, так что сравнивать с OpenSSL некорректно

Harald ★★★★★ ()
Ответ на: комментарий от dikiy

Кто сабжевой библиотекой пользуется, полтора анонимуса? OpenSSL миллионы людей используют, хоть один да заглянет в код и найдёт уязвимость и опубликует. Я бы не стал Tox-у доверять именно по этой причине

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Да уж, то-то оно heartbleed за goto fail;ом в OpenSSL.

anonymous ()
Ответ на: комментарий от Harald

в SSL и TLS, работу с сертификатами, как я вижу, не умеет, так что сравнивать с OpenSSL некорректно

Да, сравнивать надо с libcrypto из состава OpenSSL

annulen ★★★★★ ()

Исходный код распространяется по лицензии ISC.

первый раз слышу. видимо, какое-то ненужно

libsodium и NaCl просты в освоении и предоставляют хоть и небольшой, но зато проверенный набор безопасных методо

кем проверенный?

PerdunJamesBond ()
Ответ на: комментарий от dikiy

Если он проще, значит сам Tox должен быть сложнее, раз им (разрабам токса) приходится свои криптопротоколы велосипедить вместо существующих TLS или SSH. И если вдруг им начнут пользоваться миллионы, то уязвимости будут находить в коде токса с большей вероятностью, чем в сабже

Harald ★★★★★ ()
Ответ на: комментарий от dikiy

и Tox тоже не нужен,

да конечно.

именно что не нужен, ибо анонимности там нет — легко определяются пары открытый ключ/ip адрес

haku ★★★★★ ()
Ответ на: комментарий от Harald

Кто сабжевой библиотекой пользуется, полтора анонимуса?

NaCl используется, например, в OpenWRT. А сабж в dnscrypt-proxy - кроссплатформенной тулзе для защиты и шифрования DNS-трафика.

anonymous ()
Ответ на: комментарий от haku

А зачем там анонимность? Токс как бы не для того создавался.

intelfx ★★★★★ ()

Отличная либа, использую на Линукс и на iOS.

Oxdeadbeef ★★★ ()
Ответ на: комментарий от haku

именно что не нужен, ибо анонимности там нет

анонимность в интернете достигается исключительно отключением комптьютера от оного. остальное из области мифов.

Tox нужен, чтобы средство общения не зависело от левой пятки очередного чиновника.

Divius ★★ ()

Нужно

в то время, как аналоги, наподобие OpenSSL, перегружены избыточной функциональностью, в которой периодически обнаруживаются уязвимости.

Разве что в embedded!

splinter ★★★★★ ()
Последнее исправление: splinter (всего исправлений: 1)

От избытка соли развивается гипертония

northerner ★★★ ()
Ответ на: комментарий от Harald
Послушайте!
Ведь, если на ЛОРе создают треды —
значит — это кому-нибудь не нужно?
Значит — кто-то хочет, чтобы сабж закопали?
Значит — кто-то называет эти плевочки школоподелкой?
buddhist ★★★★★ ()
Последнее исправление: buddhist (всего исправлений: 1)
Ответ на: комментарий от buddhist

В Вашингтонском университете скорее всего есть свои юристы, которые так и протрактовали.

peregrine ★★★★★ ()
Ответ на: комментарий от haku

именно что не нужен, ибо анонимности там нет — легко определяются пары открытый ключ/ip адрес

мне он нужен в первую очередь потому, что не скайп и работает искаропки. Ну и до кучи, что разговор защищен от прослушки.

dikiy ★★☆☆☆ ()
Ответ на: комментарий от annulen

А а вот и не пиз*и. DJB писал NaCl, а что там в этом форке наворотили - один П-трик ведает.

anonymous ()
Ответ на: комментарий от anonymous


Скоро токсом будут пользоваться миллионы.


Целый один процент, ага. Тебя феофил покусал?


tox не ограничен линуксом, если ты про это.

dikiy ★★☆☆☆ ()
Ответ на: комментарий от dikiy

Я про неудобные идентификаторы ебической длинны. Уже одно это убирает половину потенциальных юзеров. Не гиков, я подчёркиваю, а остальных. «Телефонный номер - знаю, емэйл - знаю, а эту НЁХ - не знаю, непривычно». Разработчики это не считаю недостатком, и фиксить не собираются.

Второе - против ещё-одного-мессенджера работает вся биомасса уже-юзеров скайпа, мыл-агента, воццапа, сипнета и прочих. Всё, рынок занят. Бабла на рекламу у вас нет, поэтому паситесь, товарищи.

...а на свободу за пределами 1% - ср.ть хотели с высокой колокольни. Посему вам лично рекомендую бросить злоупотреблять, чтобы как-то контачить с реальностью.

DIXI

anonymous ()
Ответ на: комментарий от annulen

Собственно, он и написал эту штуку

сам написал, сам проверил? круто, чо))

Если он протрактовал так через суд, то был прецедент, а в США прецедентная законодательная система.

так как фраза Permission to use, copy, modify, and/or distribute this software.... была в своё время использована Вашингтонским университетом как основание для утверждения об отсутствии разрешения на распространение изменённых копий.

modify, and/or distribute

об отсутствии разрешения на распространение изменённых копий.

хрень какая-то...

PerdunJamesBond ()
Ответ на: комментарий от dikiy

скоро токсом будут пользоваться миллионы

А при коммунизме все будет заебись, Он наступит скоро, надо только подождать,

anonymous ()
Ответ на: комментарий от anonymous

Я про неудобные идентификаторы ебической длинны. Уже одно это убирает половину потенциальных юзеров.

Есть такая вещь как tox-dns, есличо.

Не гиков, я подчёркиваю, а остальных. «Телефонный номер - знаю, емэйл - знаю, а эту НЁХ - не знаю, непривычно». Разработчики это не считаю недостатком, и фиксить не собираются.

См. выше. Но вообще да, недостатком это не является. Все равно ники скайпа всегда по емейлу передавались, а не диктовались. Так какая разница?

Второе - против ещё-одного-мессенджера работает вся биомасса уже-юзеров скайпа, мыл-агента, воццапа, сипнета и прочих. Всё, рынок занят. Бабла на рекламу у вас нет, поэтому паситесь, товарищи.

Моей подруге программа сразу понравилась. Спросила, а можно ли такую на телефон поставить? Типа клево, рекламы нет и все так просто и понятно.

...а на свободу за пределами 1% - ср.ть хотели с высокой колокольни. Посему вам лично рекомендую бросить злоупотреблять, чтобы как-то контачить с реальностью.

У тебя нет друзей? Мои друзья, чтобы общаться со мной используют Tox.

dikiy ★★☆☆☆ ()
Ответ на: комментарий от dikiy

Все равно ники скайпа всегда по емейлу передавались, а не диктовались.

Как ты ловко за всю Одессу умеешь говорить.

anonymous ()
Ответ на: комментарий от anonymous

Доброе утро, про проблему с длинными идентификаторами не только знают, но ее уже решают, если не решили уже.

https://github.com/Tox/Tox-STS/blob/master/STS.md#dns-discovery

Важно помнить, что Tox все еще в состоянии альфы, поэтому сейчас идеальный момент, чтобы поучаствовать в разработке и пофиксить все мелочи, которые раздражают.

anonymous ()
Ответ на: комментарий от dikiy

А что с токсовыми клиентами? Что сейчас наиболее активно пилят для онтопика? Смотрел на офвики — каждый из трёх основных (uTox, qTox, Venom) умеет что-то, чего другие не умеют.

intelfx ★★★★★ ()
Ответ на: комментарий от anonymous


Все равно ники скайпа всегда по емейлу передавались, а не диктовались.


Как ты ловко за всю Одессу умеешь говорить.


Так или иначе, но в Tox меня можно найти по идентификатору _мой_ник_тут_гав_toxme.se

dikiy ★★☆☆☆ ()
Ответ на: комментарий от intelfx

А что с токсовыми клиентами? Что сейчас наиболее активно пилят для онтопика? Смотрел на офвики — каждый из трёх основных (uTox, qTox, Venom) умеет что-то, чего другие не умеют.

я и мои друзья (с которыми я по tox общаюсь) пользуются utox как под линуксом, так и под виндой. Единственный недостаток utox - отсутствие звуковых уведомлений искаропки. /me вылечил это соответствующей настройкой демона уведомлений. Но и без звуковых уведомлений очень юзабельно. Юзабельней того же скайпа. Чего стоит inline-картинки или кнопка, нажав на которую выбираешь участок экрана и он автоматом как inline-картинка отправляется. Шикарно!

dikiy ★★☆☆☆ ()
Ответ на: комментарий от dikiy

Хм, спасибо, учту. Меня, правда, одно раздражает: raw Xlib. Под вейленд-то пилить вообще собираются?

отсутствие звуковых уведомлений искаропки. /me вылечил это соответствующей настройкой демона уведомлений.

А как оно в кедах настраивается, не знаешь вдруг?

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

Хм, спасибо, учту. Меня, правда, одно раздражает: raw Xlib. Под вейленд-то пилить вообще собираются?

ну, мне лично пофиг. А с другой стороны даже позитивно. Благодаря чистому xlib программа на удивление легкой получается.

отсутствие звуковых уведомлений искаропки. /me вылечил это соответствующей настройкой демона уведомлений.

А как оно в кедах настраивается, не знаешь вдруг?

ща погуглю...

dikiy ★★☆☆☆ ()
Ответ на: комментарий от dikiy

ща погуглю...

Я предположил, что ты уже знаешь. Погуглить-то я в состоянии... Там проблема в том, что нотификации-то приходят, только их источник никак не идентифицируется, поэтому на них нельзя повестить обработку.

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

судя по всему конфиг knotify4 надо искать в ~/.kde/config/*.notifyrc

туда копать надо.

dikiy ★★☆☆☆ ()
Ответ на: комментарий от intelfx

Я предположил, что ты уже знаешь. Погуглить-то я в состоянии... Там проблема в том, что нотификации-то приходят, только их источник никак не идентифицируется,

идентифицируются таки. DBUS передает демону извещений все подробности. Другое дело, реализована ли в демоне извещений возможность доступа к этим опциям и прочая. Я лично пользуюсь dunst в качестве демона извещений, он это может. Ты тоже можешь, просто открути knotify4 и прикрути dunst. Хотя я почему-то думаю, что и knotify4 тоже фичастый.

dikiy ★★☆☆☆ ()
Ответ на: комментарий от dikiy

идентифицируются таки.

Действительно. Источник идентифицируется как «uTox».

Хотя я почему-то думаю, что и knotify4 тоже фичастый.

Да, это всё настраивается через GUI, но в списке приложений нет uTox'а. Ладно, буду думать, может какой desktop-файл нужно написать и в /usr/share кинуть, чтобы конфигуратор узнал о существовании uTox'а. Спасибо.

intelfx ★★★★★ ()
Ответ на: комментарий от KillTheCat

Ну, или просто пользуемся viber-ом) Никакй пульсы, никакого мелкософта, никакого жора батарейки в мобильной версии — красота.

Оффтоп: ты, кстати, потестировать ебилд новакоина не хочешь? novacoin-0.4.4.6-r9.ebuild

haku ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.