LibreSSL 是由 OpenBSD 項目開發的 OpenSSL 的一個分支。
OpenBSD 項目的開發人員最近宣布發布該軟件包的便攜版。 “FreeSSL 3.8.0”, 版本中進行了一些針對穩定性和兼容性的更改和改進。
對於那些不知道 LibreSSL 的人,您應該知道這 是一個開源實現 協議的 TLS 開發 OpenSSL 的一個分支 旨在提供更高級別的安全性。 LibreSSL 最初是作為 OpenBSD 上 OpenSSL 的預期替代品而開發的,並且在該庫的精簡版本穩定後被移植到其他平台。
LibreSSL 項目通過刪除不必要的功能、添加額外的安全功能以及對代碼庫進行大量清理和返工,專注於對 SSL/TLS 協議的高質量支持。
LibreSSL 3.8.0 主要新特性
LibreSSL 版本 3.8.0 它被認為是一個實驗版本 它開發的功能將包含在 OpenBSD 7.4 中。 同時形成了LibreSSL 3.6.3和3.7.3的穩定版本,修復了各種BUG。
在這個新版本的 LibreSSL 3.8.0 中,強調了 改進了 endian.h 與 hto* 和 *toh 宏的兼容性, 除了添加 支持 SHA-2 和 SHA-3 被截斷,內部 SHA 代碼清理和返工過程已經開始。
另一個值得注意的變化是重寫了內部函數 BN_exp() 和 BN_copy(),以及替換了 BN_mod_sqrt() 函數的實現。
除此之外,還要強調的是 添加說明 建築裝配工 AMD64使用endbr64指令 (終止間接分支)。
還注意到它被添加 修復了 OpenSSL 3 中一個考慮不周的更改,該更改破壞了對 libtls 中特權分離的支持, 此外,移植了 BoringSSL 代碼以驗證 RFC 5280 中定義的規則,並且 libcrypto 翻譯繼續使用 CBB(bytebuilder)和 CBS(bytestring)接口。
另一方面強調導入並使用了BoringSSL RFC 5280策略驗證碼
替換舊的指數時間碼,除了刪除對 GF2m:BIGNUM 的支持,因為它不支持二進制擴展,刪除大部分在 OpenSSL 0.9.8 中棄用的公共符號。
其他變化 從這個新版本中脫穎而出:
- 刪除了 X9.31 公共 API(RSA_X931_PADDING 仍然可用)。
- 刪除了密文竊取模式。
- 刪除了對 SXNET 和 NETSCAPE_CERT_SEQUENCE 的支持,包括
openssl(1) 命令 nseq. - 放棄代理證書 (RFC 3820) 支持。
- POLICY_TREE 及其相關結構和 API 已被刪除。
- 修復了 ossl_ecdsa_sign() 中 i2d_ECDSA_SIG() 的錯誤檢查。
- 修復了 AMD 硬件上擴展操作 (XOP) 的檢測。
- 修復了 tls_check_common_name() 中的錯誤處理。
- 在 SSL_free() 中添加了丟失指針失效。
- 修復了 X509err() 和 X509V3err() 及其內部版本。
- 顯著提高了 BN_mod_sqrt() 和 GCD 的測試覆蓋率。
- 與往常一樣,隨著錯誤和子系統的修復,將添加新的測試覆蓋率
他們被清理乾淨了。
最後,如果你有興趣了解更多,可以諮詢詳情 在下面的鏈接中。
如何安裝新版本的 LibreSSL?
對於那些有興趣能夠安裝這個新版本的人,他們應該知道目前它還沒有到達大多數 Linux 發行版,所以目前可用的安裝是 自己編譯包。
但別擔心,LibreSSL 構建 這非常簡單,為此你只需要打開一個終端 並運行以下命令(您必須具有以下依賴項 automake、autoconf、git、libtool、perl 和 git)。
首先是獲取源代碼,您可以使用以下命令執行此操作:
git 克隆 https://github.com/libressl/portable.git
完成後,現在我們準備進行編譯,為此我們進入包含 LibreSSL 源代碼的文件夾,我們將鍵入:
CD 便攜式 ./autogen.sh ./dist.sh
完成後,我們繼續編譯:
./configure 進行檢查 進行安裝
或者如果你更喜歡用 CMake 來做:
mkdir build cd build cmake .. make 測試