LibreSSL je fork OpenSSL vyvinutý projektom OpenBSD.
Vývojári projektu OpenBSD nedávno oznámili vydanie prenosnej edície balíka. "FreeSSL 3.8.0", verzia, v ktorej bolo vykonaných niekoľko zmien a vylepšení zameraných na stabilitu a kompatibilitu.
Pre tých, ktorí nepoznajú LibreSSL, mali by ste vedieť, že toto je implementácia s otvoreným zdrojom protokolu TLS vyvíja fork OpenSSL určené na poskytovanie vyššej úrovne bezpečnosti. LibreSSL bol pôvodne vyvinutý ako zamýšľaná náhrada za OpenSSL na OpenBSD a bol prenesený na iné platformy, keď bola stabilizovaná stiahnutá verzia knižnice.
Projekt LibreSSL sa zameriava na kvalitnú podporu protokolov SSL/TLS odstránením nepotrebných funkcií, pridaním ďalších bezpečnostných prvkov a výrazným vyčistením a prepracovaním kódovej základne.
Hlavné nové funkcie LibreSSL 3.8.0
LibreSSL verzia 3.8.0 považuje sa za experimentálnu verziu ktorý vyvíja funkcie, ktoré budú súčasťou OpenBSD 7.4. Zároveň sa vytvorili stabilné verzie LibreSSL 3.6.3 a 3.7.3, v ktorých boli opravené rôzne chyby.
V tejto novej verzii LibreSSL 3.8.0 je zdôraznené, že vylepšená kompatibilita endian.h s makrami hto* a *toh, Okrem pridania podpora SHA-2 a SHA-3 skrátený a začal sa proces vnútorného čistenia a prepracovania kódu SHA.
Ďalšou pozoruhodnou zmenou sú prepísané interné funkcie BN_exp() a BN_copy(), ako aj nahradenie implementácie funkcie BN_mod_sqrt().
Okrem toho sa zdôrazňuje aj to pridané pokyny assembler pre architektúru AMD64 použite pokyny endbr64 (Ukončiť nepriamu pobočku).
Vyniká tiež tým, že bol pridaný oprava zle premyslenej zmeny v OpenSSL 3, ktorá prerušila podporu oddelenia privilégií v libtls, Okrem toho bol prenesený kód BoringSSL na overenie pravidiel definovaných v RFC 5280 a preklad libcrypto naďalej používa rozhrania CBB (bytebuilder) a CBS (bytestring).
Na druhej strane je potrebné zdôrazniť, že bol importovaný a použitý overovací kód politiky BoringSSL RFC 5280
nahradiť starý exponenciálny časový kód, okrem odstránenia podpory pre GF2m:BIGNUM, pretože nepodporuje binárne rozšírenie, odstránenie väčšiny verejných symbolov, ktoré boli zastarané v OpenSSL 0.9.8.
Z ďalších zmien ktoré vyčnievajú z tejto novej verzie:
- Odstránené verejné API X9.31 (RSA_X931_PADDING je stále k dispozícii).
- Odstránený režim krádeže šifrovaného textu.
- Odstránená podpora pre SXNET a NETSCAPE_CERT_SEQUENCE vrátane
príkaz openssl(1) nseq. - Podpora certifikátu proxy (RFC 3820) bola zrušená.
- POLICY_TREE a súvisiace štruktúry a rozhrania API boli odstránené.
- Opravená kontrola chýb pre i2d_ECDSA_SIG() v ossl_ecdsa_sign().
- Opravená detekcia rozšírených operácií (XOP) na hardvéri AMD.
- Opravené spracovanie chýb v tls_check_common_name().
- Pridané chýbajúce zneplatnenie ukazovateľa v SSL_free().
- Opravené X509err() a X509V3err() a ich interné verzie.
- Výrazne vylepšené testovacie pokrytie BN_mod_sqrt() a GCD.
- Ako vždy, nové testovacie pokrytie sa pridáva, keď sa opravujú chyby a podsystémy
sú vyčistené.
Nakoniec, ak máte záujem dozvedieť sa o tom viac, môžete sa obrátiť na podrobnosti Na nasledujúcom odkaze.
Ako nainštalovať novú verziu LibreSSL?
Pre tých, ktorí majú záujem o možnosť inštalácie tejto novej verzie, by mali vedieť, že momentálne sa nedostala do väčšiny distribúcií Linuxu, takže momentálne dostupná inštalácia je zostavil si balík sám.
Ale nebojte sa, zostava LibreSSL Je to veľmi jednoduché a na to stačí otvoriť terminál a spustite nasledujúce príkazy (musíte mať nasledujúce závislosti automake, autoconf, git, libtool, perl a git).
Prvá vec je získať zdrojový kód, čo môžete urobiť pomocou tohto príkazu:
git klon https://github.com/libressl/portable.git
Keď to urobíme, teraz pripravíme spôsob, ako vykonať kompiláciu, zadáme priečinok, ktorý obsahuje zdrojový kód LibreSSL a napíšeme:
cd portable ./autogen.sh ./dist.sh
Keď to urobíme, pokračujeme v kompilácii s:
./configure make check make install
Alebo ak to chcete urobiť pomocou CMake:
mkdir build cd build cmake .. make make test