The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск криптографической библиотеки LibreSSL 3.3.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от opennews (ok), 25-Ноя-20, 11:51 
Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 3.3.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 3.3.0 рассматривается как экспериментальный, в котором  развиваются возможности, которые войдут в состав OpenBSD 6.9...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54142

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +2 +/
Сообщение от leibniz (ok), 25-Ноя-20, 11:51 
За ГОСТы «из коробки» спасибо им, конечно.
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (2), 25-Ноя-20, 11:56 
Спасибо или "спасибо"?
Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +14 +/
Сообщение от leibniz (ok), 25-Ноя-20, 12:15 
да
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +1 +/
Сообщение от Аноним (5), 25-Ноя-20, 12:28 
Так точно
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (4), 25-Ноя-20, 12:19 
Есть два стула… Стрибог и ко это емнип что-то уровня DES и той же степени надёжности, но вроде бы они необходимы для взаимодействия с госпорталами и всякими эцп, так что тут без вариантов: либо ты получишь доступ, либо нет.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +2 +/
Сообщение от Ivan_83 (ok), 25-Ноя-20, 13:13 
Не вижу проблемы чтобы держать и очевидно слабые алгоритмы в либе, типа 3des, rc4, md4, md5 - они тоже иногда бывают нужны.
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +2 +/
Сообщение от Аноним (4), 25-Ноя-20, 13:27 
Это пока не нашли очередной бэкдор сбрасывающий твоё соединение до уязвимой крипты.
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  –1 +/
Сообщение от Аноним (23), 25-Ноя-20, 17:05 
Ну занесите их в blacklist^W denylist
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  –7 +/
Сообщение от Самый Лучший Гусь (?), 25-Ноя-20, 13:14 
Ну и зачем оно нужно, когда есть стандартные SHA, AES и прочие, которыми пользуються во всём мире? Только себе палки в колёса вставлять, ей богу.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Ононимусemail (?), 25-Ноя-20, 13:16 
Зато своё, прав^Wотечественное
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  –1 +/
Сообщение от ryoken (ok), 25-Ноя-20, 13:27 
Читал, что AES - пропихнутый АНБ потенциально уязвимый\бэкдоренный Rijndael.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

15. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  –3 +/
Сообщение от Аноним (4), 25-Ноя-20, 13:42 
> Читал, что AES - пропихнутый АНБ потенциально уязвимый\бэкдоренный Rijndael.

Ты имеешь в виду "ослабленный" Rijndael, что таки имеет место быть. Во всяком случае, я слышал такую информацию неоднократно. Министерство обороны СГА устанавливает минимальные требования для различных уровней секретности данных, вероятно, более слабые варианты проще и быстрее расшифровать и сделать это за обозримое время.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +3 +/
Сообщение от Аноним (20), 25-Ноя-20, 14:24 
>вероятно, более слабые варианты проще и быстрее расшифровать и сделать это за обозримое время

Это делается абсолютно произвольно с учетом на то, сколько десятилетий или столетий информация должна храниться зашифрованной и с прогнозом на то, как скоро усилятся вычислительные технологии. Они не делают это для того, чтобы, например, прямо сейчас что-то начать брутфорсить, если им приспичит. Плохие шифры обычно объявляют устаревшими и перестают использовать.

>более слабые варианты

Под вариантами ты имеешь в виду лишь размеры ключей у шифров, которые (актуальные) сейчас никак не возможно сломать.

Например, RSA 1024 объявили устаревшим и стали использовать 2048, как самый минимум. По прогнозу его должно хватить до 2030 года.

Что касается AES, даже 128 бит без квантовых компьютеров не планируют испытывать.

https://en.wikipedia.org/wiki/Key_size

В теории, если бы они хотели, то могли бы использовать сильнейшие шифры абсолютно везде, это бы ничего не изменило, разве что, кроме скорости обработки данных.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +2 +/
Сообщение от Аноним (32), 25-Ноя-20, 20:43 
> Под вариантами ты имеешь в виду лишь размеры ключей у шифров, которые (актуальные) сейчас никак не возможно сломать.

Слабое место AES не в размере ключа, а в малом числе раундов, особенно со 192-битным ключом (парадокс: может оказаться, что AES-128 надёжнее). Впрочем, это пока не помогло его взломать.

> Например, RSA 1024 объявили устаревшим и стали использовать 2048, как самый минимум. По прогнозу его должно хватить до 2030 года.
> Что касается AES, даже 128 бит без квантовых компьютеров не планируют испытывать.

Не надо путать симметричные шифры с асимметричными. Они сильно отличаются по размеру ключа. И квантовыми алгоритмами ломаются многие асимметричные, но не симметричные, так что за AES переживать рано. Вот RSA придётся похоронить.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +3 +/
Сообщение от Аноним (20), 25-Ноя-20, 13:46 
А ничего, что алгоритм открыт и математически проверен? Почитай лучше историю создания.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

21. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +3 +/
Сообщение от zzz (??), 25-Ноя-20, 15:34 
Как и ГОСТ. Что нисколько не мешает васянам орать про закладки. Но AES - это совсем другое (с)
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +1 +/
Сообщение от Аноним (23), 25-Ноя-20, 17:08 
Алгоритм - да, проверен. Но херовыми параметрами (S-box) этот алгориьм можно неплохо ослабить.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

31. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +1 +/
Сообщение от Sw00p aka Jerom (?), 25-Ноя-20, 20:31 
>>Алгоритм - да, проверен.

Уверены? математически? Временем хоть как-то.

>>Но херовыми параметрами (S-box) этот алгориьм можно неплохо ослабить.

А не херовые проверены? и сколько их тогда?

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +1 +/
Сообщение от Аноним (39), 26-Ноя-20, 12:34 
> Алгоритм - да, проверен. Но херовыми параметрами (S-box) этот алгориьм можно неплохо
> ослабить.

Емнип, S-боксы для 28147 тоже опубликованя в открытом доступе (варианты ЦБ РФ и Криптопро). Сомневающиеся могут проверить их херовость.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

17. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +1 +/
Сообщение от Аноним (20), 25-Ноя-20, 13:49 
Уязвимыми в этом случае могут быть лишь его имплементации.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

25. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +4 +/
Сообщение от Annoynymous (ok), 25-Ноя-20, 17:33 
Почитай увлекательную историю Crypto AG и про то, как немцы прослушивали Меркель.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

42. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (-), 28-Ноя-20, 21:40 
Не немцы, а американцы
Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Annoynymous (ok), 29-Ноя-20, 22:05 
> Не немцы, а американцы

Ой, да.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (-), 25-Ноя-20, 20:54 
Своя шифровая система для того и нужна, что подрозумевается, что USA спец службы имеют доступ к своим шифрам к каким-то. А мы можем подрозумевать, что к нашим шифрам есть доступ наших спец служб. А как оно на самом деле мне неизвесно.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

34. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (32), 25-Ноя-20, 22:39 
AES выбирался на конкурсной основе открыто. ГОСТы разрабатывались за закрытыми дверями. Таки есть небольшая разница.
Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  –1 +/
Сообщение от Аноним (39), 26-Ноя-20, 12:41 
> AES выбирался на конкурсной основе открыто. ГОСТы разрабатывались за закрытыми дверями.
> Таки есть небольшая разница.

Примерно такая же, как между свалкой коммитов от кого ни попадя, именуемой "открытым проектом", и корпоративным продуктом, написанным отобранными HR-отделом программистами по корпоративным стандартам под свист кнута тимлида.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +1 +/
Сообщение от тимлид (?), 26-Ноя-20, 20:31 
Ага, это вот этими вот, которым чтоб войтивойти даже образования не надо: https://meduza.io/feature/2020/11/24/kem-rabotat-v-it-esli-v...

разумеется, свалка-от-кого-ни-попадя гораздо хужее - они ж умеют кодить, такого вам там накодят. То ли дело у меня, я-то ни в коде, ни в железе. А менеджером у меня товарищмайор собственной персоной, он точно проследит чтоб все было правильно.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (19), 25-Ноя-20, 14:05 
> для взаимодействия с госпорталами и всякими эцп, так что тут без вариантов: либо ты получишь доступ, либо нет.

И что libressl уже полностью хватает? Крыптопро больше не надо?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

26. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +2 +/
Сообщение от Аноним (32), 25-Ноя-20, 17:34 
> Стрибог и ко это емнип что-то уровня DES и той же степени надёжности

…заключил типичный опеннетовский эксперт. Его нисколько не смутило, что он сравнил алгоритм хеширования с алгоритмом симметричного шифрования.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

27. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  –2 +/
Сообщение от Аноним (4), 25-Ноя-20, 17:41 
Но ведь в данном контексте это не важно? Степень надёжности очень зависит от исходной конфигурации, и тут в наличии бэкдор мерещится.
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +3 +/
Сообщение от Аноним (32), 25-Ноя-20, 20:28 
В контексте опеннетовских комментариев — абсолютно неважно.
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от YetAnotherOnanym (ok), 25-Ноя-20, 18:23 
> Стрибог и ко это емнип что-то уровня DES и той же степени надёжности

Да ты просто реально эксперт в криптографии! Сказал бы, что Стрибог и ко это что-то уровня пляшущих человечков - ващще был бы светило и корифей.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

29. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  –1 +/
Сообщение от Аноним (4), 25-Ноя-20, 18:40 
Прекрасная аргументация, браво!
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  –1 +/
Сообщение от Аноним (6), 25-Ноя-20, 12:56 
Почему не на Dlang?
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Ононимусemail (?), 25-Ноя-20, 13:15 
Не труъ
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (14), 25-Ноя-20, 13:41 
Жалко в Qt эта либа не поддерживается: https://bugreports.qt.io/browse/QTBUG-68374
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +3 +/
Сообщение от mikhailnov (ok), 25-Ноя-20, 13:58 
Ну как не поддерживает...
https://github.com/gentoo/libressl/blob/master/dev-qt/qtnetw...
-#if OPENSSL_VERSION_NUMBER >= 0x10101006L
+#if OPENSSL_VERSION_NUMBER >= 0x10101006L && !defined(LIBRESSL_VERSION_NUMBER)
и это весь патч сейчас
Но отключает часть функционала
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (35), 26-Ноя-20, 01:21 
Поддерживается патчами, применяемыми в портах OpenBSD.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

36. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от marios (ok), 26-Ноя-20, 09:01 
Много лет использовал LibreSSL в Gentoo, мэйнтейнеры уже подняли поддержку на хороший уровень, есть проблемный софт, но он патчится.

Теперь есть признаки, что в будущем появятся проблемы в сборке Telegram Desktop, поэтому переполз обратно на OpenSSL. Пишут, что он уже не так дыряв, как ранее.

Дистрибутив Void Linux также планирует сползти взад на OpenSSL.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Аноним (37), 26-Ноя-20, 09:13 
>Дистрибутив Void Linux также планирует сползти взад на OpenSSL.

Пруф?

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск криптографической библиотеки LibreSSL 3.3.0"  +/
Сообщение от Онанем (?), 26-Ноя-20, 10:26 
> Устранены утечки памяти в обработчиках X.509

А они чо, БЫЛИ?

Если в криптографической библиотеке есть утечки памяти, то это не криптографическая библиотека, имхо.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру