The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Увидела свет библиотека GnuTLS 3.5.0

09.05.2016 19:34

Представлен значительный выпуск GnuTLS 3.5.0, свободной библиотеки с реализацией протоколов SSL, TLS и DTLS, алгоритмов шифрования (включая AES и Camellia) и функций для работы с различными типами сертификатов и ключей. Ветка 3.5.x подготовлена после года разработки в Git-репозитории и помечена как stable-next, что сигнализирует о достижении качества стабильной ветки, но пока неготовности заменить текущую стабильную ветку 3.4.x, поддержка которой будет продолжена.

Основные новшества:

  • Для DSA, RSA и ECDSA добавлены алгоритмы цифровой подписи на базе SHA3. В утилиту certtool добавлена поддержка создания подписей для сертификатов с использованием SHA3.
  • Добавлена поддержка алгоритма Curve25519 (RFC 7748), предложенного Дэниэлом Бернштейном (D. J. Bernstein). По умолчанию данный алгоритм не активирован, для включения в строке приоритетов следует указать "+CURVE-X25519";
  • Для TLS реализовано расширение False Start (draft-ietf-tls-falsestart-01) для ускорения установки соединения, активируемое через флаг GNUTLS_ENABLE_FALSE_START в gnutls_init();
  • Добавлены новые вызовы API для доступа к средствам генерации параметров RSA и DSA, определённым в FIPS186-4;
  • По умолчанию активирована связка из потокового шифра ChaCha20 и алгоритма аутентификации сообщений (MAC) Poly1305, которая в цепочке приоритетов поставлена вслед за AES-GCM;
  • Добавлена проверка сохранения владельца прежнего сертификата при повторном согласовании соединения (rehandshake), что добавляет дополнительное звено защиты для приложений не делающих подобных проверок;
  • Ужесточён процесс декодирования списка расширений TLS, который теперь не допускает ошибок при разборе содержимого поля с расширениями (ранее при ошибке использовалась типовая структура);
  • Старые и неподдерживаемые номера версий протокола в сообщениях установки соединения теперь приводят к отказу установки соединения;
  • Вызов функций gnutls_session_get_data*() ограничен только для исходных сессий (не возобновлённых);
  • Для возобновления сеанса задействованы требования RFC 7627 (extended master secret);
  • Системные вызовы writev() и select() заменены на sendmsg() и poll();
  • Файл со списком приоритетов теперь загружается при загрузке библиотеки, что позволяет использовать приоритеты и в программах, выполняющих chroot();
  • Приложениям разрешено переопределять URL встроенных ключей и сертификатов;
  • В утилиту certtool добавлены опции "--provable" "--verify-allow-broken";
  • Из базовой поставки удалена утилита crywrap, которая теперь развивается отдельно;
  • Добавлены новые элементы API:
    • GNUTLS_FORCE_CLIENT_CERT;
    • GNUTLS_ENABLE_FALSE_START;
    • GNUTLS_INDEFINITE_TIMEOUT;
    • GNUTLS_ALPN_SERVER_PRECEDENCE;
    • GNUTLS_E_ASN1_EMBEDDED_NULL_IN_STRING;
    • GNUTLS_E_HANDSHAKE_DURING_FALSE_START;
    • gnutls_check_version_numeric;
    • gnutls_x509_crt_equals;
    • gnutls_x509_crt_equals2;
    • gnutls_x509_crt_set_subject_alt_othername;
    • gnutls_x509_crt_set_issuer_alt_othername;
    • gnutls_x509_crt_get_signature_oid;
    • gnutls_x509_crt_get_pk_oid;
    • gnutls_x509_crq_set_subject_alt_othername;
    • gnutls_x509_crq_get_pk_oid;
    • gnutls_x509_crq_get_signature_oid;
    • gnutls_x509_crl_get_signature_oid;
    • gnutls_x509_privkey_generate2;
    • gnutls_x509_privkey_get_seed;
    • gnutls_x509_privkey_verify_seed;
    • gnutls_privkey_generate2;
    • gnutls_privkey_get_seed;
    • gnutls_privkey_verify_seed;
    • gnutls_decode_ber_digest_info;
    • gnutls_encode_ber_digest_info;
    • gnutls_dh_params_import_dsa;
    • gnutls_session_get_master_secret;


  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Ветка GnuTLS 3.4 переведена в разряд стабильных
  3. OpenNews: Google перешел c OpenSSL на BoringSSL
  4. OpenNews: Релиз LibreSSL 2.3.1
  5. OpenNews: Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов
  6. OpenNews: Выпуск криптографической библиотеки Libgcrypt 1.7.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44393-gnutls
Ключевые слова: gnutls
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ilya Indigo (ok), 02:44, 10/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >По умолчанию активирована связка из потокового шифра ChaCha20 и алгоритма аутентификации сообщений (MAC) Poly1305, которая в цепочке приоритетов поставлена вслед за AES-GCM;

    Почему не в самое начало?

     
     
  • 2.3, Аноним (-), 08:38, 10/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В самом начале ChaCha20/Poly1305 были когда их добавили в 3.4 (https://www.opennet.ru/opennews/art.shtml?num=43415), сейчас просто сделали доступным без доп. настроек, и включили далеко на с самым высоким приоритетом.
     
  • 2.4, Crazy Alex (ok), 15:18, 10/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего потому что для AES доступно аппаратное ускорение. Хотя решение сомнительное, как по мне. С другой стороны - это всего лишь дефолт от разработчика, в дистрибутивах всё может быть по-другому.
     
     
  • 3.6, й (?), 12:38, 12/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > для AES доступно аппаратное ускорение

    ага, на андроидах особенно

     
  • 2.5, Аноним (-), 23:23, 11/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>По умолчанию активирована связка из потокового шифра ChaCha20 и алгоритма аутентификации сообщений (MAC) Poly1305, которая в цепочке приоритетов поставлена вслед за AES-GCM;
    > Почему не в самое начало?

    Потому что на данный момент из клиентов это лишь Хромой поддерживает.

     

  • 1.7, Вася (??), 20:22, 12/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А где ГОСТы?
     
     
  • 2.8, Andrey Mitrofanov (?), 10:45, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А где ГОСТы?

    http://gost.ru

     
     
  • 3.9, Вася (??), 21:25, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    хорошо, где сертификаты на основе ГОСТ Р 34.12-2015?
     
     
  • 4.10, Led (ok), 21:46, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > хорошо, где сертификаты на основе ГОСТ Р 34.12-2015?

    Под кроватью смотрел?

     
     
  • 5.11, Вася (??), 15:19, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Умный что ли? А теперь ответь, пожалуйста, на основе каких криптографических алгоритмов работает в стране ЭЦП?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру