LibreSSL 是由 OpenBSD 项目开发的 OpenSSL 的一个分支。
OpenBSD 项目的开发人员最近宣布发布该软件包的便携版。 “FreeSSL 3.8.0”, 版本中进行了一些针对稳定性和兼容性的更改和改进。
对于那些不知道 LibreSSL 的人,您应该知道这 是一个开源实现 协议的 TLS 开发 OpenSSL 的一个分支 旨在提供更高级别的安全性。 LibreSSL 最初是作为 OpenBSD 上 OpenSSL 的预期替代品而开发的,并且在该库的精简版本稳定后被移植到其他平台。
LibreSSL 项目通过删除不必要的功能、添加额外的安全功能以及对代码库进行大量清理和返工,专注于对 SSL/TLS 协议的高质量支持。
LibreSSL 3.8.0 主要新特性
LibreSSL 版本 3.8.0 它被认为是一个实验版本 它开发的功能将包含在 OpenBSD 7.4 中。 同时形成了LibreSSL 3.6.3和3.7.3的稳定版本,修复了各种BUG。
在这个新版本的 LibreSSL 3.8.0 中,强调了 改进了 endian.h 与 hto* 和 *toh 宏的兼容性, 除了添加 支持 SHA-2 和 SHA-3 被截断,内部 SHA 代码清理和返工过程已经开始。
另一个值得注意的变化是重写了内部函数 BN_exp() 和 BN_copy(),以及替换了 BN_mod_sqrt() 函数的实现。
除此之外,还要强调的是 添加说明 建筑装配工 AMD64使用endbr64指令 (终止间接分支)。
还注意到它被添加 修复了 OpenSSL 3 中一个考虑不周的更改,该更改破坏了对 libtls 中特权分离的支持, 此外,移植了 BoringSSL 代码以验证 RFC 5280 中定义的规则,并且 libcrypto 翻译继续使用 CBB(bytebuilder)和 CBS(bytestring)接口。
另一方面强调导入并使用了BoringSSL RFC 5280策略验证码
替换旧的指数时间码,除了删除对 GF2m:BIGNUM 的支持,因为它不支持二进制扩展,删除大部分在 OpenSSL 0.9.8 中弃用的公共符号。
其他变化 从这个新版本中脱颖而出:
- 删除了 X9.31 公共 API(RSA_X931_PADDING 仍然可用)。
- 删除了密文窃取模式。
- 删除了对 SXNET 和 NETSCAPE_CERT_SEQUENCE 的支持,包括
openssl(1) 命令 nseq. - 放弃代理证书 (RFC 3820) 支持。
- POLICY_TREE 及其相关结构和 API 已被删除。
- 修复了 ossl_ecdsa_sign() 中 i2d_ECDSA_SIG() 的错误检查。
- 修复了 AMD 硬件上扩展操作 (XOP) 的检测。
- 修复了 tls_check_common_name() 中的错误处理。
- 在 SSL_free() 中添加了丢失指针失效。
- 修复了 X509err() 和 X509V3err() 及其内部版本。
- 显着提高了 BN_mod_sqrt() 和 GCD 的测试覆盖率。
- 与往常一样,随着错误和子系统的修复,将添加新的测试覆盖率
他们被清理干净了。
最后,如果你有兴趣了解更多,可以咨询详情 在下面的链接中。
如何安装新版本的 LibreSSL?
对于那些有兴趣能够安装这个新版本的人,他们应该知道目前它还没有到达大多数 Linux 发行版,所以目前可用的安装是 自己编译包。
但别担心,LibreSSL 构建 这非常简单,为此你只需要打开一个终端 并运行以下命令(您必须具有以下依赖项 automake、autoconf、git、libtool、perl 和 git)。
首先是获取源代码,您可以使用以下命令执行此操作:
git 克隆 https://github.com/libressl/portable.git
完成后,现在我们准备进行编译,为此我们进入包含 LibreSSL 源代码的文件夹,我们将键入:
CD 便携式 ./autogen.sh ./dist.sh
完成后,我们继续编译:
./configure 进行检查 进行安装
或者如果你更喜欢用 CMake 来做:
mkdir build cd build cmake .. make 测试