Разработчики проекта OpenBSD представили (https://www.mail-archive.com/announce@openbsd.org/msg00...) выпуск переносимой редакции пакета LibreSSL 2.9.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.9.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.5.
Особенности LibreSSL 2.9.0:
- Реализован криптографический хэш SM3 (GB/T 32905-2016), стандартизированный для учреждений Китая;
- Обеспечена автоматическая инициализация CRYPTO_LOCK. Для обеспечения совместимости добавлены заглушки callback-вызовов, ранее применяемых для инициализации;
- Для улучшения совместимости с OpenSSL добавлены дополнительные макросы OPENSSL_NO_*. Реализованы тесты совместимости с OpenSSL
1.0 и 1.1;
- Упрощены обработка опций для алгоритмов формирования цифровых подписей (sigalg) и алгоритм подписи при согласовании соединений ( handshake signing);
- Добавлена возможность применения алгоритма RSA PSS для подписей при согласовании соединений;
- Добавлена функция bn_rand_interval(), которая задействована в коде, использующем ограниченный диапазон случайных значений;
- Добавлена функциональность для раннего получения, согласования и применения секретов в соответствии с требованиями RFC8446;- Добавлена реализация конечного автомата для согласования соединений (handshake state machine), определённого в RFC8446;
- Из libcrypto удалён код, связанный с поддержкой ASN.1, которая не используется с на начала 2000-х годов;- Добавлены ассемблерные оптмизация для 32-разрядных систем ARM;
- Усилена защита от атак по сторонним каналам в коде генерации цифровых подписей ECDSA;
- В реализацию некоторых эллиптических кривых добавлены скоординированные шумы для противодействия уязвимости PortSmash в SMT/Hyper-Threading (https://www.opennet.dev/opennews/art.shtml?num=49543).
Одновременно подготовлены (https://www.mail-archive.com/announce@openbsd.org/msg00...) корректирующие выпуски LibreSSL 2.8.3 и 2.7.5, в которых решены проблемы при сборке с использованием cmake, добавлена дополнительная защита от уязвимости PortSmash, добавлена защита от атак по сторонним каналам при генерации ключей DSA и ECDSA, внесены исправления в реализацию вызова getentropy.URL: https://www.mail-archive.com/announce@openbsd.org/msg00...
Новость: https://www.opennet.dev/opennews/art.shtml?num=49789
Когда TLSv1.3 запилят?
И ГОСТ крипты тоже нету.
В смысле нету? Уже кучу версий как запилено.
И не будет.
И не надо.
А когда его на всех популярных сервисах/сайтах запилят?
draft-ietf-tls-esni-01 пусть вначале запилят от утечки Server Name Indication
в void пока не прилетело.
> Одновременно подготовлены корректирующие выпуски LibreSSL 2.8.3 и 2.7.5, в которых решены проблемы при сборке с использованием cmakeLibreSSL 2.8.3 и 2.7.5 не работают, только то проверял. Вернулся на 2.8.2
Найс вкомпиливаю LibreSSL в ruby и по тестам она на 5-10% быстрее на моем изкейсе. Про надёжность не скажу в коде особо не лазил.
А на основе чего было сделано вообще утверждение?!