| |
Компания Google опубликовала репозиторий с исходными текстами проекта BoringSSL, в рамках которого ведётся разработка независимого форка OpenSSL. Проект включает наработки, которые уже используется в Google для усиления безопасности OpenSSL. За годы в Google создано большое число патчей к OpenSSL, около 70 из которых не были приняты в основной состав OpenSSL, так как они носили экспериментальный характер или приводили к нарушению API или ABI. Теперь эти патчи легли в основу проекта BoringSSL. Разработку BoringSSL возглавил Адам Лэнгли (Adam Langley, agl), известный эксперт по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS и сетевой стек Chrome.
Развитию BoringSSL как открытого проекта способствовала недавняя череда серьёзных уязвимостей в OpenSSL, GnuTLS и SSL-реализации от компании Apple, которые были вызваны ошибками, находящимися в коде длительное время и остававшимися незамеченными. Всё это вызвало интерес по использованию усиливающих безопасность OpenSSL патчей в Android, Chrome и других продуктах. Поддерживать работу большого числа внешних патчей поверх OpenSSL является достаточно сложной задачей. Поэтому решено сменить модель их поддержания и вместо адаптации патчей к изменяющейся кодовой базе OpenSSL перейти к развитию самодостаточного форка, в который будут импортироваться изменения из OpenSSL.
Код BoringSSL скоро будет добавлен в репозиторий Chromium, а в дальнейшем возможно появится в составе платформы Android. Сохранение совместимости с OpenSSL на уровне API и ABI не гарантируется. При этом, BoringSSL не позиционируется как замена OpenSSL. Google продолжит передачу исправлений ошибок и важных изменений в OpenSSL и будет оказывать финансовую поддержку данному проекту. Кроме того, создатели BoringSSL намерены организовать сотрудничество с LibreSSL, форком OpenSSL от проекта OpenBSD. Для организации обмена кодом с LibreSSL компания Google уже перелицензировала часть своих патчей под лицензией ISC, что позволит наладить взаимный обмен патчами.
Из изменений можно отметить:
- удаление нереализованных функций,
- сокращение числа поддерживаемых форматов в ClientHello,
- обеспечения одновременной поддержки старого и нового алгоритмов поиска сертификатов X.509,
- реализация функции OPENSSL_str[n]casecmp,
- удаление макросов DANE,
- ограничение _X509_CHECK_FLAG_DOT_SUBDOMAINS только внутренним применением,
- изменение метода проверки имени хоста по маске,
- реализация расширения Intel SHA,
- поддержка асинхронного поиска сеансов,
- возможность использования только SHA-256 в клиентских сертификатах,
- поддержка ChannelID,
- реализация безопасных одноразовых кодов для (EC)DSA,
- новая реализация функции tls1_change_cipher_state,
- поддержка SSL AEAD, использование интерфейса AEAD в EVP и AES-GCM,
- поддержка шифров ChaCha20-Poly1305, ECDHE-PSK-WITH-AES-128-GCM-SHA256,
- рефакторинг ssl3_send_client_verify,
- новые функции для определения принадлежности семействам шифров.
|
|
- Главная ссылка к новости (https://news.ycombinator.com/item?id=792...)
- OpenNews: В OpenSSL выявлены уязвимости, позволяющие вклиниться в транзитный трафик и организовать выполнение кода
- OpenNews: Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов
- OpenNews: Проект OpenBSD представил LibreSSL, форк OpenSSL
- OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
- OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
| Тип: Интересно / Программы | Ключевые слова: openssl, boringssl, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
| +24 +/– |
Я BolgenSSL сначала прочитал. Испугался.
| | | 2.24, ILYA INDIGO, 13:23, 21/06/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/–
1.2, Аноним, 09:37, 21/06/2014 [ответить] [смотреть все] +10 +/–
Ну все... Теперь opennssl побьет по форкам количество дистров линукса. Н
1.3, Аноним, 09:52, 21/06/2014 [ответить] [смотреть все] –3 +/–
|
4.9, бедный буратино, 10:17, 21/06/2014 [^] [ответить] [смотреть все] | +10 +/– |
Потому что в libressl большое число изменений от google нафиг не нужно.
ps. Пока вы не поймёте, как это работает, вам бесполезно что-то объяснять. Для вас это кубики, и вы видите движение кубиков, но не видите всю картину. Поэтому в КАЖДОЙ новости будут одни и те же сопли "зачем нужны форки", "NIH-синдром" (который большинство употребляет, даже не понимая его сути и причин возникновения термина) и так далее.
Но главную тайну я открою: многие исходят из практичности. Не из "форков надо больше", "форков надо меньше", "идеологически правильно" или "идеологически неправильно", а из того, что именно они хотят сделать, и как ИМ будет удобнее это сделать. Это только анонимы на форуме любят поучать других с помощью набора штампов "выучи эти термины и стань руководителем любого проекта за полчаса".
| | | 2.49, Аноним, 23:30, 21/06/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] –1 +/– |
5.62, Stellarwind, 15:07, 23/06/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
Они собираются объявлять куски API устаревшими, но пока их кто-то использует они не могут их так просто выпилить не сломав много софта. В отличие от гугла они позиционируют проект как замену openssl, а не как домашнюю библиотеку для своего собственного софта.
| | |
1.6, Аноним, 10:06, 21/06/2014 [ответить] [смотреть все] +9 +/–
А RussianSSL будет, чтобы не зависеть от западных компаний?
1.12, Аноним, 11:02, 21/06/2014 [ответить] [смотреть все] +1 +/–С очередными закладками гугла ... весь текст скрыт [ показать]
1.13, Аноним, 11:09, 21/06/2014 [ответить] [смотреть все] +1 +/–Как в воду глядел Завтра Google предоставят форки Wayland для Android, Nginx ... весь текст скрыт [ показать]
2.20, Аноним, 12:48, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку] +1 +/–
1.17, Аноним, 12:33, 21/06/2014 [ответить] [смотреть все] +2 +/–О, круто, давайте создадим три несовместимые версии OpenSSL, вместо того, чтобы ... весь текст скрыт [ показать]
2.29, Аноним, 14:42, 21/06/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/– |
|
4.58, Аноном, 09:48, 22/06/2014 [^] [ответить] [смотреть все] | +/– |
Вечно актуальная картинка. Текущий год едва за серидину перевалил а ее можно было уже раз 7 запостить.
| | | 4.59, Аноним, 09:48, 22/06/2014 [ ^] [ ответить] [ смотреть все] +/–Не совсем так, но где-то так Суть в том, что доламывать то, что уже сломано, вс... весь текст скрыт [ показать]
1.18, Аноним, 12:46, 21/06/2014 [ответить] [смотреть все] –1 +/–Гугль скоро создаст свой интернет, в который можно войти тоько через хром или ан... весь текст скрыт [ показать]
1.21, Аноним, 12:57, 21/06/2014 [ответить] [смотреть все] +/–Перенесена из OpenSSL 1 0 2 ... весь текст скрыт [ показать]
1.31, Аноним, 16:08, 21/06/2014 [ответить] [смотреть все] –1 +/–Госта там тоже не будет Нафиг ненужно ... весь текст скрыт [ показать]
1.33, Аноним, 16:51, 21/06/2014 [ответить] [смотреть все] –1 +/–Вау, АНБшные трояны в каждый дом ... весь текст скрыт [ показать]
1.35, Аноним, 17:29, 21/06/2014 [ответить] [смотреть все] –1 +/–Так гугль или АНБ представила Вспоминаются сказочки как гениальные ученые и... весь текст скрыт [ показать]
1.38, Аноним, 20:09, 21/06/2014 [ответить] [смотреть все] –2 +/–Потому что заметить уязвимости в коде десяти форков гораздо легче чем в коде одн... весь текст скрыт [ показать] Ваш комментарий
Read more |