LINUX.ORG.RU

Выпуск криптографической библиотеки OpenSSL 3.0.0

 


1

1

После трёх лет разработки и 19 тестовых выпусков состоялся релиз библиотеки OpenSSL 3.0.0, в которой реализованы протоколы SSL/TLS и различные алгоритмы шифрования.

По сравнению с веткой OpenSSL 1.1.1 в OpenSSL 3.0.0 сделано более 7500 изменений, подготовленных 350 разработчиками.

Новая ветка включает изменения, нарушающие обратную совместимость на уровне API и ABI, но эти изменения не повлияют на работу большинства приложений, для перевода которых с OpenSSL 1.1.1 достаточно пересборки. Поддержка прошлой ветки OpenSSL 1.1.1 будет осуществляться до сентября 2023 года.

Значительное изменение номера версии связано с переходом на традиционную нумерацию «Major.Minor.Patch». Первая цифра (Major) в номере версии отныне будет меняться только при нарушении совместимости на уровне API/ABI, а вторая (Minor) при наращивании функциональности без изменения API/ABI. Корректирующие обновления будут поставляться с изменением третьей цифры (Patch). Номер 3.0.0 сразу после 1.1.1 выбран для избежания пересечений с находящимся в разработке FIPS-модулем к OpenSSL, для которого применялась нумерация 2.x.

Вторым важным для проекта изменением стал переход с двойной лицензии (OpenSSL и SSLeay) на лицензию Apache 2.0. Ранее применявшаяся собственная лицензия OpenSSL была основана на тексте устаревшей лицензии Apache 1.0 и требовала явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта. Подобные требования делали старую лицензию несовместимой с GPL, что создавало трудности при использовании OpenSSL в проектах с лицензией GPL. Для обхода данной несовместимости GPL-проекты вынуждены были применять специфичные лицензионные соглашения, в которых основной текст GPL дополнялся пунктом, явно разрешающим связывание приложения с библиотекой OpenSSL и упоминающим, что требования GPL не распространяется на связывание с OpenSSL.

>>> Источник (opennet.ru)

>>> Подробности



Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 5)

Ответ на: комментарий от Radjah

В генте есть, но пока под хардмаском:

[U] dev-libs/openssl
     Доступные версии:      1.0.2u-r1^td 1.1.1k-r1(0/1.1)^td{tbz2} 1.1.1l(0/1.1)^td [M]**3.0.0_beta2(0/3)^t [M]~3.0.0(0/3)
Pinkbyte ★★★★★
()

Надеюсь оно перестало инициализироватт коиптографию неинициализированным стеком? Вести отладку под valgrind из-за этой их параши невозможно

PPP328 ★★★★★
()
Ответ на: комментарий от PPP328

любая энтропия полезна, в добавление к имеющейся

firkax ★★★★★
()
Ответ на: комментарий от PPP328

может тебе /dev/random ещё должен предсказуемые значения выдавать для воспроизводимости при отладке?

anonymous
()
Ответ на: комментарий от PPP328

Вести отладку под valgrind из-за этой их параши невозможно

VALGRIND_MAKE_MEM_DEFINED тебе в помощь

annulen ★★★★★
()
Ответ на: комментарий от anonymous

Как раз наоборот )) Они не разрешают т.к. не смогли взломать. А все эти ваши AES’ы спокойно расшифровываются АНБ’ями всякими.

anonymous
()
Ответ на: комментарий от Radjah

В RHEL 9 (и CentOS Stream 9, соответственно). Минимум с июня дистр собирается с тройкой.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 2)
Ответ на: комментарий от anonymous

Так ты оформи патч, фиг ли ленишься?

zgen ★★★★★
()

Это что же, не успели свистопляску с переподстановками либ 0.9 x 1.0 x 1.1 разрулить, теперь предлагають 3.0 до кучи?

pat_minus
()
Ответ на: комментарий от anonymous

это они хотят, чтобы ты так думал. как видишь, сработало

anonymous
()
Ответ на: комментарий от pat_minus

Не было никакой свистопляски. Собрали с новой версией и всё.

slovazap ★★★★★
()
Ответ на: комментарий от anonymous

Если не шифровать, то нечего ломать, значит хакиры не (будут) нужны.

anonymous
()
Ответ на: ПОЗОР, ЖОПЫЧ ВОРУЕ от cocucka

да не, для Ъ норма. если бы все так делали, не приходилось бы два сайта открывать.

crypt ★★★★★
()

Наверное новые закладки впилили туда, с целью возможности эксплуатации-))

ChAnton ★★
()
Ответ на: комментарий от anonymous

Как раз наоборот )) Они не разрешают т.к. не смогли взломать. А все эти ваши AES’ы спокойно расшифровываются АНБ’ями всякими.

Пруфы?

anonymous
()
Ответ на: комментарий от gns

Толку-то от ГОСТа, если он без сертификата?

В точку. Это «нечто» никто в здравом уме не использует, только из-под палки. Репутация-с.

anonymous
()
Ответ на: комментарий от Pinkbyte

Есть какие-то вычисления на этот счёт?

anonymous
()

Зачем нужно шифрование твоих данных по SSL, если минцифры все равно устроит слив всех твоих данных, включая сканы всех документов в даркнет?

GP
()
Ответ на: комментарий от PPP328

Зачем? Надо же как-то кормить уязвимостями преступников.

anonymous
()
Ответ на: комментарий от GP

если минцифры все равно устроит слив всех твоих данных

Это всё надо ещё уметь связывать. Дядьки из гэбни-мск не зря свои деньги гребут, но таким мимопроходил, обычно, не интересен.

anonymous
()

Опечатка

Так, а есть что-то интересное? Есть.

static int dh_cmp_parameters(const EVP_PKEY *a, const EVP_PKEY *b)
{
    return ossl_ffc_params_cmp(&a->pkey.dh->params, &a->pkey.dh->params,
                               a->ameth != &ossl_dhx_asn1_meth);
}

Предупреждение PVS-Studio: V751 Parameter ‘b’ is not used inside function body. dh_ameth.c 312

Классика :).

Andrey_Karpov_2020
()
Ответ на: Опечатка от Andrey_Karpov_2020

Слабое предупреждение. Надо выдавать: ожидалось &b->pkey.dh->params во втором аргументе

anonymous
()
Ответ на: комментарий от Harald

В mainline nginx завезли. И это - самое важное приложение из тех, кому нужен openssl.

lucentcode ★★★★★
()
Ответ на: комментарий от anonymous

Слабое предупреждение.

Нормально. Это более умное предупреждение, чем ругаться на все неиспользуемые аргументы. Подробнее. А вот выдать осмысленнее сообщение про замеченную аномалию сложнее, чем кажется :(.

Andrey_Karpov_2020
()

а есть какие-нибудь сравнения с WolfSSL?

splinter ★★★★★
()
Ответ на: комментарий от gns

Как завезли так и вывезли. Есть GOST в релизной ветке? Про сертификат не распарсил. Почему его может не быть? Другой вопрос что из-за отсутствия в релизных ветках гост, у пользователя начинаются проблемы при открытии страниц с такими сертификатами. Точнее ни в браузере посмотреть и curl’om http не получить.

anonymous
()
Ответ на: комментарий от anonymous

Есть две большие разницы завезения ГОСТ, в TLS он вроде как не завезён из коробки, а вот проверить подлинность сертификата с помощью cli интерфейсов, или например сгенерить ключи кмк вполне можно. Но для простого пользователя это конечно будет выглядеть как ГОСТ не завезён.

Но, если говорить про браузеры, скажи мне о анон - в каких таких браузерах вообще используется openssl?

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Ну да, в пылу дискуссии с браузерами я погорячился. Но curl разве завозят в дистрибы не со статической линковкой с openssl, где по умолчанию нет ГОСТ. Чтобы получить гост надо пересобирать всё и вся.

anonymous
()
Ответ на: комментарий от anonymous

Но curl разве завозят в дистрибы не со статической линковкой с openssl, где по умолчанию нет ГОСТ

не знаю как сейчас, а лет 10 тому назад, когда в openssl уже завезли engine для gost у curl была ошибка - https://sourceforge.net/p/curl/bugs/1208/ , из-за которой curl игнорировал конфиг openssl.

и в php аналогичная фигня была - https://bugs.php.net/bug.php?id=63992 .

Но теперь-то всё хорошо, теперь тот engine не актуален, а есть-ли новый - Бог весть :)

anonymous
()
Ответ на: Опечатка от Andrey_Karpov_2020

почему этот человек до сих пор не в бане?

bhfq ★★★★★
()
Ответ на: комментарий от anonymous

Откуда дровишки про расшифровку AES анбой?

Ну вообще, по аналогии, видно что предыдущий стандарт DES они таки имели технические возможности читать, если те уязвимости, что всплыли для него для публики в 90-х, были известны в 70е, когда он принимался. Но делать это было не просто: требовались суперкомпьютерные возможности на пределе техники того времени. То есть, чисто технически очень мало кто в мире мог это сделать, даже зная об уязвимостях, но АНБ наверное могло. А вот знали они или нет достоверно не известно, можно верить, что не знали ;-)

praseodim ★★★★★
()
Ответ на: комментарий от anonymous

Так вот почему криптопро ставится со своим curl…

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous
ldd $(which curl) | grep ssl
        libssl.so.1.1 => /lib/x86_64-linux-gnu/libssl.so.1.1 

Эт в бубунточке LTS, в стабильных дебьянах и шапках тоже так-же, только в шапке вроде ещё с fips моде включенным по умолчанию.

Вот насчёт штатного openssl надо будет почекать, но есть ненулевая вероятность, что достаточно поставить гостовый движок.

pon4ik ★★★★★
()
Ответ на: Опечатка от Andrey_Karpov_2020

Предупреждение PVS-Studio: V751 Parameter ‘b’ is not used inside function body. dh_ameth.c 312

А ведь нелюбимый здесь господин Карпов прав - это фееричный косяк.

P.S. Похоже от пиваса есть толк.

P.P.S. Проверю на досуге cppcheck-ом и clang-ом, нужен ли пивас.

MumiyTroll ★★★
()
Последнее исправление: MumiyTroll (всего исправлений: 2)
Ответ на: комментарий от praseodim

АНБ наверное могло. А вот знали они или нет достоверно не известно, можно верить, что не знали

В смысле не знали. Можешь нагуглить вагон историй с их участием, где они намеренно продвигали (успешно) в стандарт слабый ключ, платили за включение в продуктах слабой криптографии по умолчанию и пр. Поэтому не только знали, но и руку приложили. Они же продвигают в интернетах идею про святую корову криптографию (не вскрывай эту тему, просто используй везде openssl, криптография - это как полёты на Нибиру, тебе никогда не понять).

anonymous
()
Ответ на: комментарий от MumiyTroll

это фееричный косяк.

-Wunused-parameter с хайповым -Werror спасут гиганта мысли и отца

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.