Чем оно лучше openssl?

Исправлена атака? Теперь можно атаковать по сторонним каналам?

Оттуда вырезано всё, что только можно и проведена работа по рефакторингу. Грубо говоря OpenBSD-шники открыли исходники OpenSSL, офигели и тут же форкнули.

форка от проекта OpenBSD.

Закапывайте

снапшот стоит обновлять?

Чем оно лучше openssl?

безопаснее. раз этак в бесконечность.

Меньшим количеством решета

Им реже пользуются, следовательно и ошибки обнаруживаться тоже будут нечасто. В отличие от OpenSSL

Госты присутствуют?

А вот как выглядит команда, пилящая OpenSSL (не вся) - https://www.openssl.org/blog/blog/2016/10/12/f2f-rt-github/

Скока умных и бородатых дядек (и тётек) пилят сабжевый форк?

http://pix.toile-libre.org/upload/original/1486039707.png

и тётек

А точно?

Им реже пользуются

А пользователей ябла тебе мало?

ну издалека похожа, по крайней мере

например?

Чего например? Повыкидывали из OpenSSL кучу легаси реализующего всякие ненужные уже сто лет как алгоритмы. Меньше года — меньше решета. Ещё и отрефакторили то что осталось.
Или ты не помнишь эпичный фэйл с heartbleed и как все бугуртили что это решето надо закопать вместе с разрабами и залить бетоном? Вот пока ЛОРовцы бугурлити openbsdуны (и ещё пара проектов) взялись за приведение OpenSSL в божеский вид

кроме случаев когда не безопасней, потому что подход у них тоже не ахти какой - выкинуть все что не нравится, все что выглядит не очень и все что они не понимают. Результат получается соответствующий. Я б лично этому не стал доверять.

openssh-то вы хоть доверяете?

https://www.openbsd.org/images/poster34.jpg

Не хочу никого обидеть, но они на дне? ;)

а где ещё рыбам быть?

http://gk11.ru/s/openbsd-ocean.jpg

http://gk11.ru/s/openbsd.jpg

Шутка про дно не прошла ).

«— Кто проживает на дне океана? — Мои тиммейты по ходу.» — О союзниках. Лурк->Дно

согласен только с последним утверждением

Не хочу никого обидеть, но они на дне? ;)

ну так задонать свой миллион, чо зажал да помоги пацанам

Почему-то вспомнилось как в Debian взяли и исправили OpenSSL http://vitus-wagner.livejournal.com/279779.html?style=mine

ага. собирались сделать из говна конфетку, а сделали конфетку из говна.

выкинуть все что не нравится, все что выглядит не очень и все что они не понимают. Результат получается соответствующий.

Это ГОРАЗДО лучше чем «яхз зачем это, как оно работает и что делает, но раз уж это написали (этак в конце 90х), то пусть будет, авось пригодится".

Это ГОРАЗДО лучше чем «яхз зачем это, как оно работает и что делает, но раз уж это написали (этак в конце 90х), то пусть будет, авось пригодится".

Пример дебиана (выше) как раз в тему :) Собрались, не поняли, решили выкинуть «старый неправильный» код. Как результат отзыв всех сертификатов за два года. Всё-таки криптография это очень сложная штука.

Так то профан по сути только «собиральщик пакета» или команда пейсателей целой ОС (и не плохой ОС) которые на основе монстра решили сделать няшку — ведь это проще чем влиться в команду аудиторов родительского проекта при том что править древний код тебе скорее всего не пустят, т.к. у них там то обратная совместимость, то еще какие закидоны.

Кстати, есть вполне годная альтернатива <BearSSL>:

https://bearssl.org

fips в планах есть или ребятки не в курсе что это?

Так то профан по сути только «собиральщик пакета» или команда пейсателей целой ОС (и не плохой ОС) которые на основе монстра решили сделать няшку

Вот я почти о том же, а кто же все те люди кто мэйнтейнят этот LibreSSL? Как то он непрозрачно развивается, на гитхабе пустота и пять человек фолловеров. Судя по тому, что он даже не включен в базу пакетов Fedora, на линуксе у него тоже человек пять пользователей. Я бы такое в продакшн не взял.

Я бы такое в продакшн не взял.

А в макось взяли. Ну и разрабатывают её не на гитхабе:

Source code pulled from OpenBSD for LibreSSL - this includes most of the library and supporting code. The place to contribute to this code is via the OpenBSD CVS tree. Please mail patches to tech@openbsd.org, instead of submitting pull requests, since this tree is often rebased.

Вот сюда идём — https://www.libressl.org/

А в макось взяли.

Про это я в курсе, и вот одна из статеек на эту тему - https://eclecticlight.co/2016/03/23/the-tls-mess-in-os-x-el-capitan/

Apple advises developers to provide their own SSL/TLS support in apps, so that they can be confident of it working the way that they would expect it to.

Эпично.

Ну и разрабатывают её не на гитхабе:

Тоже в курсе, поэтому и написал про непрозрачность разработки. Что же не привели ссылку на CVS репозиторий сразу? :) CVS в 21м веке, они это серьезно? Где список багов, пулл реквестов, где открытые проблемы? Не упрекаю разрабов LibreSSL, но выглядит со стороны как детский сад.

Где список багов, пулл реквестов, где открытые проблемы?

В почте, где ж им еще быть.

но выглядит со стороны как детский сад.

Завязываться на сторонний коммерческий сервис — вот детсад. Как зеркало — еще ладно. Свой гит — отлично. Ну и они «старпёры», им так удобнее, их там не так много.

Эпично.

Эпично, не эпично, но этот код они могут проверить, а опенссл — нет, не осиливают монстра.

Где список багов, пулл реквестов, где открытые проблемы? Не упрекаю разрабов LibreSSL, но выглядит со стороны как детский сад.

в 99% проектах с *багами, пуллреквестами и открытыми проблемами* проект помирает через срок от недели до нескольких лет.

в OpenBSD, ничего не меняя, они разрабатывают многие проекты уже под 25 лет, сохраняя всю историю не только проектов, но и их веб-сайтов

и кто детский сад?

Я бы такое в продакшн не взял.

так это не для тебя.

ты и они - это совсем разные человеческие уровни. ты просто не поймёшь ничего, в принципе.

А вот как выглядит команда, пилящая OpenSSL (не вся) - https://www.openssl.org/blog/blog/2016/10/12/f2f-rt-github/

отцы !

А вот как выглядит команда, пилящая OpenSSL (не вся) - https://www.openssl.org/blog/blog/2016/10/12/f2f-rt-github/

отцы !

Ты наверно хотел сказать сытые отцы! Хотел задонатить, но передумал. Таким жирным и пузатым мужикам донат не нужен палюбому.

ты и они - это совсем разные человеческие уровни. ты просто не поймёшь ничего, в принципе.

Узнаю ЛОР, громкие суждения о личностях от всяческих буратин))

В почте, где ж им еще быть.

Может им всё таки открыть для себя багтрекеры и быть ближе к современному процессу разработки?

Завязываться на сторонний коммерческий сервис — вот детсад. Как зеркало — еще ладно. Свой гит — отлично. Ну и они «старпёры», им так удобнее, их там не так много.

Никто не говорит про сторонний сервис, но CVS в наше время отпугивает от них новых разрабов.

Эпично, не эпично, но этот код они могут проверить, а опенссл — нет, не осиливают монстра.

Я очень сомневаюсь, что у них в команде есть столько же специалистов по криптографии сколько в проекте OpenSSL. Именно поэтому такой код очень тяжело проверять, это не библиотека для GUI. Если кого-то напрягают старые алгоритмы в OpenSSL, так собирайте его с -no-rc4 -no-ssl2 -no-ssl3 -no-[....]

Всё это всего лишь к тому, что криптография это совсем не так просто, как многим хотелось бы, пример Дебиана только один из многих. Сколько же новых багов наплодят в LibreSSL своими оптимизациями - неизвестно.

передается неинициализированный буфер. Собственно, почему бы и нет? Неинициализрованная память -тоже случайные данные

Вот ведь говноеды. UB используют и кукарекают что так и надо.

Вот ведь говноеды. UB используют и кукарекают что так и надо.

А вот в треде еще один рыцарь в сияющих доспехах объявился, который, правда, читать не умеет. Так вот, для тех кто не осилил три параграфа из той ссылки: поясню на пальцах - OpenSSL использует неинициализированную память как _один_ из _многих_ источников энтропии. Чем больше тем лучше. Если там окажется мусор, почему бы не использовать и его? Не окажется, ну ничего страшного.

Так вот похожий на Вас неосилятор из дебиана, закомментировал основную точку добавления энтропии и отрубил _абсолютно все_ источники энтропии, включая UB по памяти. Советую внимательно перечитать http://vitus-wagner.livejournal.com/279779.html?style=mine

Так что очередной привет оптимизаторам и аналитикам без знаний основ криптографии.

Всё таки полноценный форк пилить это не пакетик собирать.

А вот и еще один говноед.

один_ из _многих_ источников энтропии

Да насрать. UB есть UB. На какой-то системе их говнокод вообще может в тот же момент когда он полез в неинициализированную память быть тихо свернут и выкинут из процессов.

Всё таки полноценный форк пилить это не пакетик собирать.

Всецело уважаю тех, кто свой труд в это вкладывает, намерения там благие. Лишь бы сообщество тех, кто всерьез занимается криптографией там тоже участвовало.

С другой стороны, уже имеем два ни с чем не совместимых (относительно известных) форка OpenSSL - BoringSSL и LibreSSL.

Да насрать. UB есть UB. На какой-то системе их говнокод вообще может в тот же момент когда он полез в неинициализированную память быть тихо свернут и выкинут из процессов.

Сколько же у вас фантазий на тему говен) По всей видимости, эти фантазии относятся и к вашей «какой-то г...» системе, на которой за обращение к _выделенной_ но неинициализированной памяти процес «будет выкинут» :) Как я понимаю, пример из man на malloc на тему такого UB вы не приведёте? Аноним он есть аноним.

man на malloc

Существует жизнь за пределами linux/xbsd. Даже если код здесь и сейчас работает - это не значит что он написан верно. Строить криптобиблиотеку с использованием грязных хаков это мощно. А потом такие ноют когда memcpy начинает работать не так как раньше (но по прежнему по стандарту).

Там хватает шарящих в криптографии, достаточно взглянуть сколько проектов в рамках опенбсди развивается и где они используются.

Существует жизнь за пределами linux/xbsd. Даже если код здесь и сейчас работает - это не значит что он написан верно. Строить криптобиблиотеку с использованием грязных хаков это мощно. А потом такие ноют когда memcpy начинает работать не так как раньше (но по прежнему по стандарту).

У вас так и не хватило сил понять фразу «_один_ из источников энтропии»? Вопросов больше не имею, продолжайте фантазировать.