LINUX.ORG.RU

LibreSSL 2.5.1

 , , ,


2

3

Состоялся выпуск LibreSSL — форка OpenSSL от проекта OpenBSD.

Основные изменения:

  • Добавлена реализация Curve25519.
  • Добавлена поддержка OCSP stapling для libtls и netcat.
  • Добавлена поддержка tickets для libtls.
  • Исправлена атака по сторонним каналам для ECDSA.
  • Обновлены страницы man.

>>> Подробности



Проверено: jollheef ()
Последнее исправление: sudopacman (всего исправлений: 7)

Исправлена атака? Теперь можно атаковать по сторонним каналам?

AVL2 ★★★★★
()
Ответ на: комментарий от reedych

Оттуда вырезано всё, что только можно и проведена работа по рефакторингу. Грубо говоря OpenBSD-шники открыли исходники OpenSSL, офигели и тут же форкнули.

Legioner ★★★★★
()

форка от проекта OpenBSD.

Закапывайте

anonymous
()

снапшот стоит обновлять?

buratino ★★★★★
()
Ответ на: комментарий от buratino

Им реже пользуются, следовательно и ошибки обнаруживаться тоже будут нечасто. В отличие от OpenSSL

Harald ★★★★★
()
Ответ на: комментарий от Harald

Им реже пользуются

А пользователей ябла тебе мало?

mandala ★★★★★
()
Ответ на: комментарий от reedych

Чего например? Повыкидывали из OpenSSL кучу легаси реализующего всякие ненужные уже сто лет как алгоритмы. Меньше года — меньше решета. Ещё и отрефакторили то что осталось.
Или ты не помнишь эпичный фэйл с heartbleed и как все бугуртили что это решето надо закопать вместе с разрабами и залить бетоном? Вот пока ЛОРовцы бугурлити openbsdуны (и ещё пара проектов) взялись за приведение OpenSSL в божеский вид

MrClon ★★★★★
()
Ответ на: комментарий от buratino

кроме случаев когда не безопасней, потому что подход у них тоже не ахти какой - выкинуть все что не нравится, все что выглядит не очень и все что они не понимают. Результат получается соответствующий. Я б лично этому не стал доверять.

prizident ★★★★★
()
Ответ на: комментарий от buratino

Шутка про дно не прошла ).

«— Кто проживает на дне океана? — Мои тиммейты по ходу.» — О союзниках. Лурк->Дно

zyzier
()
Ответ на: комментарий от zyzier

Не хочу никого обидеть, но они на дне? ;)

ну так задонать свой миллион, чо зажал да помоги пацанам

anonymous
()
Ответ на: комментарий от prizident

выкинуть все что не нравится, все что выглядит не очень и все что они не понимают. Результат получается соответствующий.

Это ГОРАЗДО лучше чем «яхз зачем это, как оно работает и что делает, но раз уж это написали (этак в конце 90х), то пусть будет, авось пригодится".

Stil ★★★★★
()
Ответ на: комментарий от Stil

Это ГОРАЗДО лучше чем «яхз зачем это, как оно работает и что делает, но раз уж это написали (этак в конце 90х), то пусть будет, авось пригодится".

Пример дебиана (выше) как раз в тему :) Собрались, не поняли, решили выкинуть «старый неправильный» код. Как результат отзыв всех сертификатов за два года. Всё-таки криптография это очень сложная штука.

Censo
()
Ответ на: комментарий от Censo

Так то профан по сути только «собиральщик пакета» или команда пейсателей целой ОС (и не плохой ОС) которые на основе монстра решили сделать няшку — ведь это проще чем влиться в команду аудиторов родительского проекта при том что править древний код тебе скорее всего не пустят, т.к. у них там то обратная совместимость, то еще какие закидоны.

mandala ★★★★★
()

fips в планах есть или ребятки не в курсе что это?

slyjoeh ★★★
()
Ответ на: комментарий от mandala

Так то профан по сути только «собиральщик пакета» или команда пейсателей целой ОС (и не плохой ОС) которые на основе монстра решили сделать няшку

Вот я почти о том же, а кто же все те люди кто мэйнтейнят этот LibreSSL? Как то он непрозрачно развивается, на гитхабе пустота и пять человек фолловеров. Судя по тому, что он даже не включен в базу пакетов Fedora, на линуксе у него тоже человек пять пользователей. Я бы такое в продакшн не взял.

Censo
()
Ответ на: комментарий от Censo

Я бы такое в продакшн не взял.

А в макось взяли. Ну и разрабатывают её не на гитхабе:

Source code pulled from OpenBSD for LibreSSL - this includes most of the library and supporting code. The place to contribute to this code is via the OpenBSD CVS tree. Please mail patches to tech@openbsd.org, instead of submitting pull requests, since this tree is often rebased.

Вот сюда идём — https://www.libressl.org/

mandala ★★★★★
()
Ответ на: комментарий от mandala

А в макось взяли.

Про это я в курсе, и вот одна из статеек на эту тему - https://eclecticlight.co/2016/03/23/the-tls-mess-in-os-x-el-capitan/

Apple advises developers to provide their own SSL/TLS support in apps, so that they can be confident of it working the way that they would expect it to.

Эпично.

Ну и разрабатывают её не на гитхабе:

Тоже в курсе, поэтому и написал про непрозрачность разработки. Что же не привели ссылку на CVS репозиторий сразу? :) CVS в 21м веке, они это серьезно? Где список багов, пулл реквестов, где открытые проблемы? Не упрекаю разрабов LibreSSL, но выглядит со стороны как детский сад.

Censo
()
Ответ на: комментарий от Censo

Где список багов, пулл реквестов, где открытые проблемы?

В почте, где ж им еще быть.

но выглядит со стороны как детский сад.

Завязываться на сторонний коммерческий сервис — вот детсад. Как зеркало — еще ладно. Свой гит — отлично. Ну и они «старпёры», им так удобнее, их там не так много.

Эпично.

Эпично, не эпично, но этот код они могут проверить, а опенссл — нет, не осиливают монстра.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Censo

Где список багов, пулл реквестов, где открытые проблемы? Не упрекаю разрабов LibreSSL, но выглядит со стороны как детский сад.

в 99% проектах с *багами, пуллреквестами и открытыми проблемами* проект помирает через срок от недели до нескольких лет.

в OpenBSD, ничего не меняя, они разрабатывают многие проекты уже под 25 лет, сохраняя всю историю не только проектов, но и их веб-сайтов

и кто детский сад?

buratino ★★★★★
()
Ответ на: комментарий от Censo

Я бы такое в продакшн не взял.

так это не для тебя.

ты и они - это совсем разные человеческие уровни. ты просто не поймёшь ничего, в принципе.

buratino ★★★★★
()
Ответ на: комментарий от kto_tama

А вот как выглядит команда, пилящая OpenSSL (не вся) - https://www.openssl.org/blog/blog/2016/10/12/f2f-rt-github/

отцы !

Ты наверно хотел сказать сытые отцы! Хотел задонатить, но передумал. Таким жирным и пузатым мужикам донат не нужен палюбому.

anonymous
()
Ответ на: комментарий от buratino

ты и они - это совсем разные человеческие уровни. ты просто не поймёшь ничего, в принципе.

Узнаю ЛОР, громкие суждения о личностях от всяческих буратин))

Censo
()
Ответ на: комментарий от mandala

В почте, где ж им еще быть.

Может им всё таки открыть для себя багтрекеры и быть ближе к современному процессу разработки?

Завязываться на сторонний коммерческий сервис — вот детсад. Как зеркало — еще ладно. Свой гит — отлично. Ну и они «старпёры», им так удобнее, их там не так много.

Никто не говорит про сторонний сервис, но CVS в наше время отпугивает от них новых разрабов.

Эпично, не эпично, но этот код они могут проверить, а опенссл — нет, не осиливают монстра.

Я очень сомневаюсь, что у них в команде есть столько же специалистов по криптографии сколько в проекте OpenSSL. Именно поэтому такой код очень тяжело проверять, это не библиотека для GUI. Если кого-то напрягают старые алгоритмы в OpenSSL, так собирайте его с -no-rc4 -no-ssl2 -no-ssl3 -no-[....]

Всё это всего лишь к тому, что криптография это совсем не так просто, как многим хотелось бы, пример Дебиана только один из многих. Сколько же новых багов наплодят в LibreSSL своими оптимизациями - неизвестно.

Censo
()
Ответ на: комментарий от Censo

передается неинициализированный буфер. Собственно, почему бы и нет? Неинициализрованная память -тоже случайные данные

Вот ведь говноеды. UB используют и кукарекают что так и надо.

anonymous
()
Ответ на: комментарий от anonymous

Вот ведь говноеды. UB используют и кукарекают что так и надо.

А вот в треде еще один рыцарь в сияющих доспехах объявился, который, правда, читать не умеет. Так вот, для тех кто не осилил три параграфа из той ссылки: поясню на пальцах - OpenSSL использует неинициализированную память как _один_ из _многих_ источников энтропии. Чем больше тем лучше. Если там окажется мусор, почему бы не использовать и его? Не окажется, ну ничего страшного.

Так вот похожий на Вас неосилятор из дебиана, закомментировал основную точку добавления энтропии и отрубил _абсолютно все_ источники энтропии, включая UB по памяти. Советую внимательно перечитать http://vitus-wagner.livejournal.com/279779.html?style=mine

Так что очередной привет оптимизаторам и аналитикам без знаний основ криптографии.

Censo
()
Ответ на: комментарий от Censo

А вот и еще один говноед.

один_ из _многих_ источников энтропии

Да насрать. UB есть UB. На какой-то системе их говнокод вообще может в тот же момент когда он полез в неинициализированную память быть тихо свернут и выкинут из процессов.

anonymous
()
Ответ на: комментарий от mandala

Всё таки полноценный форк пилить это не пакетик собирать.

Всецело уважаю тех, кто свой труд в это вкладывает, намерения там благие. Лишь бы сообщество тех, кто всерьез занимается криптографией там тоже участвовало.

С другой стороны, уже имеем два ни с чем не совместимых (относительно известных) форка OpenSSL - BoringSSL и LibreSSL.

Censo
()
Ответ на: комментарий от anonymous

Да насрать. UB есть UB. На какой-то системе их говнокод вообще может в тот же момент когда он полез в неинициализированную память быть тихо свернут и выкинут из процессов.

Сколько же у вас фантазий на тему говен) По всей видимости, эти фантазии относятся и к вашей «какой-то г...» системе, на которой за обращение к _выделенной_ но неинициализированной памяти процес «будет выкинут» :) Как я понимаю, пример из man на malloc на тему такого UB вы не приведёте? Аноним он есть аноним.

Censo
()
Ответ на: комментарий от Censo

man на malloc

Существует жизнь за пределами linux/xbsd. Даже если код здесь и сейчас работает - это не значит что он написан верно. Строить криптобиблиотеку с использованием грязных хаков это мощно. А потом такие ноют когда memcpy начинает работать не так как раньше (но по прежнему по стандарту).

anonymous
()
Ответ на: комментарий от Censo

Там хватает шарящих в криптографии, достаточно взглянуть сколько проектов в рамках опенбсди развивается и где они используются.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Существует жизнь за пределами linux/xbsd. Даже если код здесь и сейчас работает - это не значит что он написан верно. Строить криптобиблиотеку с использованием грязных хаков это мощно. А потом такие ноют когда memcpy начинает работать не так как раньше (но по прежнему по стандарту).

У вас так и не хватило сил понять фразу «_один_ из источников энтропии»? Вопросов больше не имею, продолжайте фантазировать.

Censo
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.