LINUX.ORG.RU

Выпуск криптографической библиотеки OpenSSL 3.0.0

 


1

1

После трёх лет разработки и 19 тестовых выпусков состоялся релиз библиотеки OpenSSL 3.0.0, в которой реализованы протоколы SSL/TLS и различные алгоритмы шифрования.

По сравнению с веткой OpenSSL 1.1.1 в OpenSSL 3.0.0 сделано более 7500 изменений, подготовленных 350 разработчиками.

Новая ветка включает изменения, нарушающие обратную совместимость на уровне API и ABI, но эти изменения не повлияют на работу большинства приложений, для перевода которых с OpenSSL 1.1.1 достаточно пересборки. Поддержка прошлой ветки OpenSSL 1.1.1 будет осуществляться до сентября 2023 года.

Значительное изменение номера версии связано с переходом на традиционную нумерацию «Major.Minor.Patch». Первая цифра (Major) в номере версии отныне будет меняться только при нарушении совместимости на уровне API/ABI, а вторая (Minor) при наращивании функциональности без изменения API/ABI. Корректирующие обновления будут поставляться с изменением третьей цифры (Patch). Номер 3.0.0 сразу после 1.1.1 выбран для избежания пересечений с находящимся в разработке FIPS-модулем к OpenSSL, для которого применялась нумерация 2.x.

Вторым важным для проекта изменением стал переход с двойной лицензии (OpenSSL и SSLeay) на лицензию Apache 2.0. Ранее применявшаяся собственная лицензия OpenSSL была основана на тексте устаревшей лицензии Apache 1.0 и требовала явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта. Подобные требования делали старую лицензию несовместимой с GPL, что создавало трудности при использовании OpenSSL в проектах с лицензией GPL. Для обхода данной несовместимости GPL-проекты вынуждены были применять специфичные лицензионные соглашения, в которых основной текст GPL дополнялся пунктом, явно разрешающим связывание приложения с библиотекой OpenSSL и упоминающим, что требования GPL не распространяется на связывание с OpenSSL.

>>> Источник (opennet.ru)

>>> Подробности



Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 5)
Ответ на: комментарий от anonymous

Они не разрешают т.к. не смогли взломать.

Или не разрешают, потому что русские умеют ломать ГОСТ, потому что они его и разработали. Больше теорий заговора, хороших и разных)

goingUp ★★★★★
()

Хороший пример говнокода в гигантских объемах, но миллионы мух продолжают этим пользоваться.

anonymous
()
Ответ на: Опечатка от Andrey_Karpov_2020

А ты опенсорсни свой велосипед, добавь в CI и не будет опечаток.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

В смысле, что openssl version прямо пишет про то, что эта сборочка совместима.

pon4ik ★★★★★
()
Ответ на: комментарий от anonymous

Сертификат - это про регуляторные требования в РФ и комплаенс им. Речь про бумажный сертификат о том, что реализации соответствует требованиям ФСБ к такому-то классу СКЗИ. Считайте что в некоторых вопросах нужно подтверждение третьей компетентной стороной, что разработано как надо. Понятно, что если там косяк пропущен, то никого не накажут, но обяжут исправить.

Что касается паранойи некоторых местных ораторов про АНЮ читает aes256, ФСБ читает ГОСТ - ну, можно предположить, что крипта ослаблена где то, но пока никто не нашел пруфов, это не так то просто выявить, и такие действия обоюдоострый меч, кто-то еще может найти такую слабость. Так что я думаю, что если это и правда, это лишь слегка упрощает дело спецслужбам, но расшифровка все равно будет крайне трудоемкой.

anonymous
()

раз тут все так шарят в openssl подскажите:
как мне из SSL_get_security_level(const SSL *s) получить human friendly string описание типа как у gnutls_session_get_desc?!

anonymous2 ★★★★★
()
Ответ на: комментарий от BLOBster

Чтобы проще было выявлять ребят, которые пытаются ломать секретку. Чтобы не спутать с экзабайтами котиков и прона

cobold ★★★★★
()
Ответ на: комментарий от Legioner

А зачем ломать, когда есть прикормленный интел с AES-NI, который в случае чего будет сливать ключи шифрования куда-надо.

anonymous
()
Ответ на: комментарий от anonymous

Если думать, что твой процессор сливает данные, то он их сольёт вне зависимости от наличия AES-NI и вообще алгоритма шифрования.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)

На своём десктопе переехал нормально, только убрал USE=ssl для dev-lang/ruby-3.0.2.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.