Разработчики криптографической библиотеки OpenSSL объявили о полном преобразовании структуры и методов управления проектом. Для поддержания миссии проекта созданы два равноправных подразделения - некоммерческая организация OpenSSL Foundation и коммерческая компания OpenSSL Corporation, сфокусированные на интересах некоммерческого сообщества и коммерческих предприятий. Оба подразделения функционируют полностью независимо и имеют раздельные процессы принятия решений...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61603
До сих пор не понимаю почему такая криптография находится под крылом каких-то никому не подотчетных васянов. Единственное что их может оправдать что это всего лишь ширма для реальных владельцев типа анб или дарпа.
А вот в случае с условным Кузнечиком всегда понятно кому если что можно предъявить претензии
А что у Вас за претензия?
Недостаточно глубоко
Кому? Тому, кого заставили купить ?
Забористой, в/на которой он сидел?
Боунси Кастл весьма вероятно под АНБ исходя из того что они навязывают на linkedIn и фоновых изображений их hr
ну значит - хорошие сапоги, надо брать!
(только вот наверняка - вранье)
Код открыт, докажи что ты "Невасян" и весь интернет перейдёт на твою библиотеку.
Почти реальный план, тебе только надо доказать свой тэзис.
Доля винды на десктопах наглядно показывает, насколько людям интересен софт без зондов.Я уже не говорю про Intel ME и AMD PSP vs железо без зондов.
А при чём тут доля винды на десктопе?
Пожалуйста еще пример - OpenVPN, с открытым кодом, хотя за ним стоит корпорация и софт платный.Зондирование не зависит от той или иной лицензии.
> Пожалуйста еще пример - OpenVPN, с открытым кодом, хотя за ним стоит корпорация
> и софт платный.Зондирование не зависит от той или иной лицензии.Да, и совершенно случайно любой клиент OVPN мог дофига лет MITMать остальных, просто потому что тип серта эта байда не проверяла. Так что поставив свой сервак OVPN с клиентским :)) сертом на той стороне - его прекрасно покупали за чистую монету по дефолту.
Особо прошареные конечно включали проверку, но таких было - сколько? В какой-то версии, после пары громких статей в интеренете, они, конечно снялись с тормоза.
... ну так, к вопросу почему вайргад прикольнее этой лабуды, там ЭТО даже теоретически невозможно, в отличие от этого энтерпрайзного макаронного монстра.
По дефолту и сейчас ничего не изменилось. Так делать не получится только потому, что OpenSSL проверяет тип сертификата по умолчанию, а не OpenVPN.Не удивлюсь, если с другими библиотеками шифрования сработает.
Среднестатистический обыватель вообще не задумывается на тему зондов, максимум на тему зонта во время дождя. Но, даже если задумывается, то ему психологически комфортнее продолжать пользоваться тем, чем пользуется большинство.
Это называется "стайный рефлекс". Рыба в стае не задумывается куда она плывёт, она плывёт куда вся стая, даже если и видит что стая плывёт прямо в сеть.
Уже 5 лет слежу за "активностью Intel me" посредством сетевых фильтров на шлюзе. Пока обнаружить какую-либо активность от целенаправленно задействованной обнаружить не удалось.
Конечно же, это не означает, что её нет, и что разные производители сетевого оборудования ни в сговоре с Intel. Но хотелось бы какие-то реальные пруфы про тайную активность кольца -3.
...какую-либо активность КРОМЕ целенаправлен...
Т.е. раз тебя не било током из розетки значит током розетка тебя ударит на может? Так, товарищ, продолжайте наблюдение.
Если по каким-то, только Вам известным причинам, засунул пальцы в розетку и током не ударило - значит конкретно она ударить не сможет, до устранения причин неисправности.
А Вы, видимо, живёте в мире, где принцип неопределенности работает в макромире. Сегодня не ударило, а завтра - уже не известно. Забавно у Вас. Только это все идёт от головы, а не от реальности.
И как же вы следите? Проверяете вручную каждый отправленный пакет? Смешно.
> Смешно.Смешной, - для этого пишут/используют скрипты, утилиты, библиотеки. Открытых навалом
> И как же вы следите? Проверяете вручную каждый отправленный пакет? Смешно.Ставится ОС (я проверял на FreeBSD 13) на реальное железо, оснащенное Intel ME (10700K), врубается PF (брандмауэр, перетянутый из OpenBSD) с одним правилом: запретить любую сетевую активность. Wi-Fi отключается (я физически удалял модуль с "матери"), поднимается Ethernet, соединяется с роутером с полным логированием активности и оставляется включенным на неделю без использования компьютера. Неделя проходит, идем смотреть улов. У меня ничего. Ноль. Точнее, исходящего ноль (что нам и надо). МЕ безопасен и ничего не сливает?
> без использования компьютера
> исходящего ноль
> МЕ безопасен и ничего не сливаетКогда нечего сливать, видимо, не сливает.
И так будете всю жизнь трястись и бояться ME, и того момента, когда наступит причина для сливания?
Не проще ли изучить назначение технологии и научиться контролировать её, и направить себе на благо?
А то так и останетесь селянином на гужевой повозке, гневно плюющим вслед первым тракторам.
> А то так и останетесь селянином на гужевой повозке, гневно плюющим вслед первым тракторам.Чел, думаю ты просто мечешь биссер. Они не поймут (с)
Тут местные только от слова телеметрия начинаю на овно исходить, даже если у них есть код в котором расписано всё: что, где, когда, и куда оптравляется.
Это тебе еще не начали задвигать, что ʼкоре2дуо лудший, тк там нет МЕʼ.
Любая новая технология, будь то язык программирования, система контейнеризации или новые железки, тут будет обплевываться неосиляторами со словами ʼнинуужжна!11 азаза!ʼНу и фиксация местных анонимов на зондах (зачастую анальных), тоже думаю о чем-то говорит.
Старик Фрейд небось целую книгу смог бы написать))
> Это тебе еще не начали задвигать, что ʼкоре2дуо лудший, тк там нет МЕʼ.А еще там нет инструкций AVX, наличие которых обязательно для большого кол-ва ПО. Сидеть на "Коре дуба", конечно, можно, но лучше не стоит.
> А еще там нет инструкций AVX, наличие которых обязательно для большого кол-ва
> ПО. Сидеть на "Коре дуба", конечно, можно, но лучше не стоит.Не думаю, что неудобства когда-то останавливали адептов Свободы™
СПО-фанатики из латинской америки выкидывают все блобы и сужают диапазон рабочих железок до минимума.
Всякие либр-гну-каное-буты соревнуются кто из них пощво6одестее и запускаются на паре-десятке материнок которым по 20 лет.
Столлман отказывается летать на самолетах, тк там проверяют паспорт.
(Хотя мне не хотелось бы сидеть рядом с пахнущим немытым дедом, осознавая что его личность не проверили на чекинее)))Так что фанатики всегда найдут тысячу причин, почему на коре2дуо НУЖНО сидеть))
> Так что фанатики всегда найдут тысячу причин, почему на коре2дуо НУЖНО сидеть))Без шуток, а что они будут делать, когда "Кора дуба" даст дуба, а заменить ее будет не на что просто потому, что все выпущенные экземпляры уже на руках, а новых не выпускают? Значит придется переходить на "зондожелезо", а раз так, то не проще ли купить современное АО, наслаждаться высоким быстродействием и не .пать мозги?
> Без шуток, а что они будут делать, когда "Кора дуба" даст дуба, а заменить ее будет не на что просто потому, что все выпущенные экземпляры уже на руках, а новых не выпускают?Хз, к счастью я не знаком с ними слишком близко.
Возможно будут пользоваться "open hardware".
Может кто-то будет выпускать RISC-V процы, достаточно открытые для таких людей.
Может какой-то из сект и течений будет достаточно, что за процом не стоит ЦРУ/АНБ и Хуавей от борцов с империализмом подойдет.> Значит придется переходить на "зондожелезо", а раз так, то не проще ли купить современное АО, наслаждаться высоким быстродействием и не .пать мозги?
Неа)
Во-первых, это не спортивно и за такое можно "партбилет на стол положить" с вычеркиванием из списков "борцов за опенсорс".
Во-вторых, возникнет вопрос "а зачем я 30 лет до этого страдал?". И признать себя глупцом мало кто сможет.
Значит сливать нечего. Не на что триггериться.
> Значит сливать нечего. Не на что триггериться.Предлагай варианты, у меня все равно платформа на 10700К фактически свободна (я использую ее как NAS) и есть возможность поэксперементировать.
> смотреть улов. У меня ничего. Ноль. Точнее, исходящего ноль (что нам и надо).
> МЕ безопасен и ничего не сливает?Это только полным анализом его фирмвары узнается....
Друг, Вы не обижайтесь, хоть посыл у Вас правильный, результат будет не верным.
Из под работающей системы ниже кольца -1 Вы спуститься не сможете. А ME работает в кольце -3.
Ловить следует на другой машине-шлюзе, в идеале - лишённой ME. Поскольку нельзя исключать, что кольца -3 способны обмениваться пакетами, не пропуская их на более высокий слой.
> Ловить следует на другой машине-шлюзе, в идеале - лишённой ME. Поскольку нельзя
> исключать, что кольца -3 способны обмениваться пакетами, не пропуская их на
> более высокий слой.Но так же нельзя исключать, что в каждый чип встраивается микроосхема, которая передает данные по неизвестным науке каналам связи, а за всем этим стоят рептилоиды с нибиру.
Но ты можешь попробовать найти способ отследить их и раскрыть заговор!
Вы за местного Евгения Вахтанговича, с такими же плоскими шутками?
Скриптуется и сбор пакетов, и их анализ. Если смеялись не по призванию, а от незнания, то обогощайте свой багаж знаний.
>Пока обнаружить какую-либо активность от целенаправленно задействованной обнаружить не удалосьЗаявил ананим на опеннете. Напините статью, на хабре допустим. А то больше похоже на работу бота АНБ/ФСБ/Ми 5/(выбрать нужное).
Толку то от открытого кода. Найти в нём и алгоритме дополнительные дверца крайне тяжело. Да и не хватит у большинства квалификации. А у кого хватает, тот будет молчать. Жить то хочется
Уверователь в теории заговоров? Земля плоская, нами правят рептилоиды? Детский сад, честное слово.
>сфокусированные на интересах некоммерческого сообщества и коммерческих предприятий. Оба подразделения функционируют полностью независимо и имеют раздельные процессы принятия решенийПохоже что интересы некоммерческого сообщества и коммерческих предприятий сильно отличаются
Какая прекрасная непосредственность) Интересы отличаются даже у тебя и твоего начальника, не то что у разных подразделений. Если бы у них были одинаковые интересы - зачем тогда 2 подразделения?
Зачем два подразделения когда внутри подразделения у начальника и не начальника разные интересы?
Я думал, что интересы в области безопасности у всех одинаковые. Оказывается -нет.
Боюсь безопасность к криптографии имеет слегка опосредованное отношение. Особенно сабжевая. Например если используешь чужую криптографию она априори небезопасна. Даже если по факту безопасна.
> если используешь чужую криптографию она априори небезопаснаСпорим на $1000, что твоя нечужая криптография окажется по всем параметрам хуже rot13?
Я сам писал rot26. По всем тестам она вдвое безопаснее.
Правда, предварительно надо сообщение в base64 загнать.
Base64 мало. Надо брать Base128, а то и Base256.
На самом деле все просто. Есть клетка, она объединяется согласно своей программе выживания с другими и делиться. Получается многоклеточный организм - человек. Он учится выживать, поэтому объединяется с другими людьми. Так получается семья, друзья, род, племя, государство. Объединение происходит в разных вопросах по разным причинам. Государства также объединяются в разных вопросах и это более сложный процесс. И каждый пытается выжить, вплоть до каждой клетки каждого индивида. К сожалению все пока ещё старо как мир. Интересы безопасности у всех разные, но у некоторых групп определенные цели могут совпадать.
У группы не может быть интересов, пока у неё нет лидера. А когда есть — его интересы являются интересами группы.Точно так же, как и интересы человеческого организма определяется его сознанием, а не интересами отдельных клеток.
Малые группы лучше организованны, поэтому эффективнее.
Интересы организма определяются его собственными потребностями, а не сознанием. Сознание лишь может этому мешать и притормаживать. Проанализируй период гона за самкой. Думаешь это потребности сознания?
А вы хотите сказать, что гон за самкой вызван интересами отдельных клеток организма? (Это, если что, именно тот тезис, с которым я спорю.)
> А вы хотите сказать, что гон за самкой вызван интересами отдельных клеток
> организма? (Это, если что, именно тот тезис, с которым я спорю.)Это интерес группы клеток под названием «животное хомо сапиенс». Сознание просто мимо проходило.
> На самом деле все просто. Есть клетка, она объединяется согласно своей программе выживания с другими и делиться.Если это так, то почему абсолютное большинство организмов на планете (как по видовому разнообразию, так и по массе) одноклеточные?
А иногда случается иммунодефицит, рак и прочие неприятности у организма, когда интересы клеток не совпадают. И волнения, революции в государствах по тем же причинам
>> Отрепортил этого корпората, если не сотрут - вы сами всё поняли.Если это обо мне. Напиши что у меня нет работы и маюсь без дела, ищу работу.
> Похоже что интересы некоммерческого сообщества и коммерческих предприятий сильно отличаютсяВозможно, отделили команду тех, кто фиксит/пилит устаревшие версии за плату и добавляет фичи по конкретным запросам, которые могут быть неинтересны обычным пользователям?
(1.1.1 и 1.0.2 вроде только на коммерческой поддержке, уже не менее года или около того, кажется.)
Может и так, но обычно у них там фонд - принимает пожертвования, а corporation - управляет разработкой. А здесь совсем не так:"принятие решений возложено на совместную работу советов директоров, избираемых отдельно в OpenSSL Foundation и OpenSSL Corporation"
Здесь неизбежно возникнут конфликты
> Может и так, но обычно у них там фонд - принимает пожертвования, а corporation - управляет разработкой. А здесь совсем не так:
> "принятие решений возложено на совместную работу советов директоров, избираемых отдельно в OpenSSL Foundation и OpenSSL Corporation"
> Здесь неизбежно возникнут конфликтыНе возникнут если в совете директоров Corporation будут сидеть люди от коропораций, а в совете директоров Foundation будут сидеть люди выдвинутые самыми активными участниками разработки, чей вклад невозможно не заметить, т.е тоже корпорациями.
Тогда механизм будет работать как часы))
Там в openssl quic добавили наконец. Вот это я понимаю прогресс столько лет спустя. Но, чёт, говорят, всё ещё неюзабельно, и требует доработки для применения с той же curl, или уже доработали?
Работает, просто в 2 раза медленнее, чем libtcp2.
Скорее ровно наоборот.
Популярное но не лучшее. Лучше уж либре или вульф. Но рыночек порешал за стаж.
В чём разница, на практике и в теории?
На практике, OpenSSL третьей версии сильно медленнее первой https://blog.synopse.info/?post/2023/09/08/End-Of-Live-OpenS...
https://github.com/openssl/openssl/issues/21005
https://github.com/openssl/openssl/issues/17064
Конечно не лучше, смешной ты. Гнутлс ещё как-то конкурентоспособен, но гпл жжёт подпроприетащикам, боронг слишком коцанный для генерал юз и слишком зависит от гугла, нсс вообще непонятно как и зачем существует. Остаётся только майкрософт, но они сами не рады своему дотнету и дружно перебрались на опнессл.
Ничего себе схема, а поколения, спиноффы, генезисы как у марвел будут?
Не понимаю, чего тут вообще обсуждать? Тем более в поздний час. Какая разница кто управляет этими библиотеками и есть ли там зонды? Результатами работ OpenSSL как пользовались люди, так и продолжат. Какие альтернативы то?
Так абсолютно без разницы о чем пост, всегда в комментариях большинство комментариев о том, почему сабж используется для слежки, как на нем отмывают деньги и где тут замешано мировое правительство. Абсолютно под каждым постом. Мне кажется большинство комментариев просто GPT-шкой создаются.
>Мне кажется большинство комментариев просто GPT-шкой создаются.Вот сейчас было обидно. Сидишь тут, открываешь людям правду на заговор рептилоидов с планеты Нибиру, а тебя ещё и с нейронкой сравнивают.
ГОСТ же
GnuTLS
А мне как раз всё понятно, и даже интуитивно, есть Mozilla Corp, с которыми надо обсуждать донаты и стандарты,
и есть Mozilla Org, которым надо просто показать как делают другие и направить в нужное русло, а еще они браузер вроде пилят.
Корпорация это коммерческая организация единственная цель которой приносить прибыль еë учредителям.
Как зарабатывать деньги на браузере я примерно представляю.
Как зарабатывать деньги на сабже, для меня не очевидно.
Разработка фич на заказ.Типа, нам нужен в библиотеке вот такой алгоритм.
Какую фичу можно запилить в криптографическую библиотеку, которой ещё нет, чтобы она кормила всю жизнь?
Как какую, боковую калиточку для тех, кто проплатил.)
Но есть нюанс. Скольким людям нужен браузер, на котором можно заработать корпам (из примера выше)? Обозначим это чисто за X. Скольким людям нужна "боковая калиточка"? Обозначим за Y. Очевидно, что Y << X, а значит данная коммерческая модель не работоспособна.
Ну допустим достук к колиточки купят правительственный спецслужбы через подставные конторы. Интересно доожна ли будет корпорация отчитываться перед кем либо, за какую услуги или товар ей заплатили. Вот это вопрос.
> Ну допустим достук к колиточки купят правительственный спецслужбы через подставные конторы.Зачем спецслужбам что-то покупать, когда они могут просто затребовать то, что им нужно? А если кто-то откажется от "сотрудничества", тому ой-ой что будет.
"Переход под крыло OpenSSL библиотек Bouncy Castle и Cryptlib "Это конец. Этим "товарищам" нельзя доверять такие серьёзные библиотеки. Они и их в мусор превратят.
Все правильно, крыпту надо контролировать.Незря-же в Страсбурге с трибуны на весь мир кричал британский премьер: "крыптографию которую нельзя расшифровать надо запретить!"
Есть еще LibreSSL, ее пока можно использовать.
Не по ГОСТу, тебя накажут.
Кто и за что?
Моя сборка LibreSSL кое какие алгоритмы с ГОСТ поддерживает...
Что-то мне подсказывает, что на этих разных графиках ФИО будут одни и те же.
Двойной распил - двойной профит)
Что-то мне подсказывает что квадратик "стафф" будет один и будет он не в бузинесс разделе.
Пришло время GnuTLS.
"We believe everyone should have access to security and privacy tools...">Проект отныне не ограничивается только библиотекой OpenSSL и открыт для других связанных с криптографией разработок. Первыми двумя присоединившимися проектами стали библиотеки Bouncy Castle (крипто-API для API Java и C#) и cryptlib
403
Занавес
Зато идеальная безопастность, чего вы хотели?
> 403УМВР
Офигеть, лет 20 назад писал на жабе проект с зависимостью от BouncyCastle. Он ещё живой оказывается...
Офигеть сколько менеджмента на одну либу, пусть и важную. Вангую что все эти "очень важные" люди сожрут на свою "очень важную" деятельность половину всего бюджета.
почалось ждём новыйе Heartbleed или щто)