LINUX.ORG.RU

LibreSSL 2.5.1

 , , ,


2

3

Состоялся выпуск LibreSSL — форка OpenSSL от проекта OpenBSD.

Основные изменения:

  • Добавлена реализация Curve25519.
  • Добавлена поддержка OCSP stapling для libtls и netcat.
  • Добавлена поддержка tickets для libtls.
  • Исправлена атака по сторонним каналам для ECDSA.
  • Обновлены страницы man.

>>> Подробности



Проверено: jollheef ()
Ответ на: комментарий от Censo

_один_ из источников энтропии

Я не за качество ГСЧ беспокоюсь, а за говнокод в столь широко используемом проекте. Лучше бы они ограничились только теми источниками энтропии которые не предполагают UB.

anonymous ()
Ответ на: комментарий от anonymous

Я не за качество ГСЧ беспокоюсь, а за говнокод в столь широко используемом проекте. Лучше бы они ограничились только теми источниками энтропии которые не предполагают UB.

Чем больше источников случайных данных, тем лучше защита ГСЧ от повторений. Говнокод и UB про который идёт речь, существует только в вашей фантазии. Вот этот код из OpenSSL:

int fn()
{
    struct stat sb;
    RAND_add(&sb, sizeof(sb), 0.0);
}

Приведите пожалуйста ссылку на авторитетный источник (кроме голосов в вашей голове), что это UB и что:

На какой-то системе их говнокод вообще может в тот же момент когда он полез в неинициализированную память быть тихо свернут и выкинут из процессов.

Пример таких операционных систем и документацию про UB при чтении данных со своего же стека в студию. Ждемс.

Censo ()
Ответ на: комментарий от Censo

при чтении данных со своего же стека

Про чтение данных из стека речи не шло. Речь про

static void ssleay_rand_add(const void *buf, int num, double add)
............
 MD_Update(&m,buf,j)
....

const void *entropySource;
int moreEntropyPlz = 9000;
ssleay_rand_add(entropySource,moreEntropyPlz,...)
anonymous ()
Ответ на: комментарий от mandala

ну бездумно выкидывать все что не нравится и все что не понимаешь тоже не лучший подход в криптографии. но так-то да, для хипстеров это выглядит откровением.

prizident ★★★★★ ()
Ответ на: комментарий от menangen

Кстати, есть вполне годная альтернатива <BearSSL>:

Для интересующихся лёгкой портабельной TLS библиотекой могу еще порекомендовать mbedTLS (бывший PolarSSL) https://tls.mbed.org/core-features

Используется в боевых условиях во многих проектах, в Nginx, в OpenVPN (версия c mbedTLS используется правительством Дании для государственных нужд).

Очень открытый проект, развитое тестирование, множество внутренних тестов.

Censo ()