top
logo


Компания Google представила BoringSSL, форк OpenSSL PDF Печать E-mail
Автор: adm   
21.06.14 06:14

Компания Google опубликовала репозиторий с исходными текстами проекта BoringSSL, в рамках которого ведётся разработка независимого форка OpenSSL. Проект включает наработки, которые уже используется в Google для усиления безопасности OpenSSL. За годы в Google создано большое число патчей к OpenSSL, около 70 из которых не были приняты в основной состав OpenSSL, так как они носили экспериментальный характер или приводили к нарушению API или ABI. Теперь эти патчи легли в основу проекта BoringSSL. Разработку BoringSSL возглавил Адам Лэнгли (Adam Langley, agl), известный эксперт по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS и сетевой стек Chrome.

Развитию BoringSSL как открытого проекта способствовала недавняя череда серьёзных уязвимостей в OpenSSL, GnuTLS и SSL-реализации от компании Apple, которые были вызваны ошибками, находящимися в коде длительное время и остававшимися незамеченными. Всё это вызвало интерес по использованию усиливающих безопасность OpenSSL патчей в Android, Chrome и других продуктах. Поддерживать работу большого числа внешних патчей поверх OpenSSL является достаточно сложной задачей. Поэтому решено сменить модель их поддержания и вместо адаптации патчей к изменяющейся кодовой базе OpenSSL перейти к развитию самодостаточного форка, в который будут импортироваться изменения из OpenSSL.

Код BoringSSL скоро будет добавлен в репозиторий Chromium, а в дальнейшем возможно появится в составе платформы Android. Сохранение совместимости с OpenSSL на уровне API и ABI не гарантируется. При этом, BoringSSL не позиционируется как замена OpenSSL. Google продолжит передачу исправлений ошибок и важных изменений в OpenSSL и будет оказывать финансовую поддержку данному проекту. Кроме того, создатели BoringSSL намерены организовать сотрудничество с LibreSSL, форком OpenSSL от проекта OpenBSD. Для организации обмена кодом с LibreSSL компания Google уже перелицензировала часть своих патчей под лицензией ISC, что позволит наладить взаимный обмен патчами.

Из изменений можно отметить:

  • удаление нереализованных функций,
  • сокращение числа поддерживаемых форматов в ClientHello,
  • обеспечения одновременной поддержки старого и нового алгоритмов поиска сертификатов X.509,
  • реализация функции OPENSSL_str[n]casecmp,
  • удаление макросов DANE,
  • ограничение _X509_CHECK_FLAG_DOT_SUBDOMAINS только внутренним применением,
  • изменение метода проверки имени хоста по маске,
  • реализация расширения Intel SHA,
  • поддержка асинхронного поиска сеансов,
  • возможность использования только SHA-256 в клиентских сертификатах,
  • поддержка ChannelID,
  • реализация безопасных одноразовых кодов для (EC)DSA,
  • новая реализация функции tls1_change_cipher_state,
  • поддержка SSL AEAD, использование интерфейса AEAD в EVP и AES-GCM,
  • поддержка шифров ChaCha20-Poly1305, ECDHE-PSK-WITH-AES-128-GCM-SHA256,
  • рефакторинг ssl3_send_client_verify,
  • новые функции для определения принадлежности семействам шифров.
  1. Главная ссылка к новости (https://news.ycombinator.com/item?id=792...)
  2. OpenNews: В OpenSSL выявлены уязвимости, позволяющие вклиниться в транзитный трафик и организовать выполнение кода
  3. OpenNews: Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов
  4. OpenNews: Проект OpenBSD представил LibreSSL, форк OpenSSL
  5. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  6. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
Тип: Интересно / Программы
Ключевые слова: openssl, boringssl, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Аноним, 09:35, 21/06/2014 [ответить] [смотреть все] +8 +/
BorgSSL им бы лучше подошло.
 
+24 +/
Я BolgenSSL сначала прочитал. Испугался.
 
  3.48, Аноним, 23:26, 21/06/2014 [^] [ответить] [смотреть все]  +/
Это как раз было бы менее страшно А вот мания гугла хавать все до чего дотянутс... весь текст скрыт [показать]
 
  4.60, cmp, 19:07, 22/06/2014 [^] [ответить] [смотреть все]  +/
Да я вот тоже не пойму в чем прикол, прослойка безопасности SSL должна добавля... весь текст скрыт [показать]
 
2.24, ILYA INDIGO, 13:23, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/  
1.2, Аноним, 09:37, 21/06/2014 [ответить] [смотреть все]  +10 +/ Ну все... Теперь opennssl побьет по форкам количество дистров линукса. Н
  1.3, Аноним, 09:52, 21/06/2014 [ответить] [смотреть все]  –3 +/ 
  2.4, Аноним, 10:02, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +3 +/
 
  3.7, Аноним, 10:07, 21/06/2014 [^] [ответить] [смотреть все]  –1 +/
прочти вопрос меж строк вопрос был к тому почему бы не слить свои патчи в либ... весь текст скрыт [показать]
 
  4.9, бедный буратино, 10:17, 21/06/2014 [^] [ответить] [смотреть все]  +10 +/
Потому что в libressl большое число изменений от google нафиг не нужно.

ps. Пока вы не поймёте, как это работает, вам бесполезно что-то объяснять. Для вас это кубики, и вы видите движение кубиков, но не видите всю картину. Поэтому в КАЖДОЙ новости будут одни и те же сопли "зачем нужны форки", "NIH-синдром" (который большинство употребляет, даже не понимая его сути и причин возникновения термина) и так далее.

Но главную тайну я открою: многие исходят из практичности. Не из "форков надо больше", "форков надо меньше", "идеологически правильно" или "идеологически неправильно", а из того, что именно они хотят сделать, и как ИМ будет удобнее это сделать. Это только анонимы на форуме любят поучать других с помощью набора штампов "выучи эти термины и стань руководителем любого проекта за полчаса".

 
2.49, Аноним, 23:30, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  –1 +/ 
  3.53, Elhana, 02:28, 22/06/2014 [^] [ответить] [смотреть все]  +/
Все написано же.. Гугл хочет ломать API/ABI, LibreSSL не хочет.
image
 
  4.56, Аноним, 05:37, 22/06/2014 [^] [ответить] [смотреть все]  +/
И очень зря, btw Потому что то что есть в openssl - это пи ц ... весь текст скрыт [показать]
 
  5.62, Stellarwind, 15:07, 23/06/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Они собираются объявлять куски API устаревшими, но пока их кто-то использует они не могут их так просто выпилить не сломав много софта. В отличие от гугла они позиционируют проект как замену openssl, а не как домашнюю библиотеку для своего собственного софта.
 
1.6, Аноним, 10:06, 21/06/2014 [ответить] [смотреть все]  +9 +/ А RussianSSL будет, чтобы не зависеть от западных компаний?
  1.12, Аноним, 11:02, 21/06/2014 [ответить] [смотреть все]  +1 +/
С очередными закладками гугла ... весь текст скрыт [показать]
  1.13, Аноним, 11:09, 21/06/2014 [ответить] [смотреть все]  +1 +/
Как в воду глядел Завтра Google предоставят форки Wayland для Android, Nginx ... весь текст скрыт [показать]
    2.20, Аноним, 12:48, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/  1.17, Аноним, 12:33, 21/06/2014 [ответить] [смотреть все]  +2 +/
О, круто, давайте создадим три несовместимые версии OpenSSL, вместо того, чтобы ... весь текст скрыт [показать]
 
  2.19, Аноним, 12:47, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/
 
  3.27, Аноним, 14:09, 21/06/2014 [^] [ответить] [смотреть все]  –1 +/
Какой из них API b ... весь текст скрыт [показать]
 
2.29, Аноним, 14:42, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/ 
    4.58, Аноном, 09:48, 22/06/2014 [^] [ответить] [смотреть все]  +/
Вечно актуальная картинка. Текущий год едва за серидину перевалил а ее можно было уже раз 7 запостить.
 
4.59, Аноним, 09:48, 22/06/2014 [^] [ответить] [смотреть все]  +/
Не совсем так, но где-то так Суть в том, что доламывать то, что уже сломано, вс... весь текст скрыт [показать]
 
1.18, Аноним, 12:46, 21/06/2014 [ответить] [смотреть все]  –1 +/
Гугль скоро создаст свой интернет, в который можно войти тоько через хром или ан... весь текст скрыт [показать]
  1.21, Аноним, 12:57, 21/06/2014 [ответить] [смотреть все]  +/
Перенесена из OpenSSL 1 0 2 ... весь текст скрыт [показать]
  1.31, Аноним, 16:08, 21/06/2014 [ответить] [смотреть все]  –1 +/
Госта там тоже не будет Нафиг ненужно ... весь текст скрыт [показать]
 
  2.32, Психиатр, 16:14, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +4 +/
форкните форк обзовите GostSSL и назло всем выпилите все алгоритмы кроме гостов... весь текст скрыт [показать] [показать ветку]
 
  3.34, Аноним, 17:07, 21/06/2014 [^] [ответить] [смотреть все]  +/
а после засунуть все эти четыре форка опенссля в редхет совтваре коллекционз и п... весь текст скрыт [показать]
 
1.33, Аноним, 16:51, 21/06/2014 [ответить] [смотреть все]  –1 +/
Вау, АНБшные трояны в каждый дом ... весь текст скрыт [показать]
  1.35, Аноним, 17:29, 21/06/2014 [ответить] [смотреть все]  –1 +/
Так гугль или АНБ представила Вспоминаются сказочки как гениальные ученые и... весь текст скрыт [показать]
 
  2.36, Аноним, 18:54, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  +2 +/
справедливости ради следует отметить, что гейц ничего кроме коррупции в ИТ не из... весь текст скрыт [показать] [показать ветку]
 
  3.46, Аноним, 23:19, 21/06/2014 [^] [ответить] [смотреть все]  +/
Он еще васик написал Хоть и не изобрел ... весь текст скрыт [показать]
 
2.37, Аноним, 19:37, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  –1 +/ 
  3.52, pavlinux, 01:26, 22/06/2014 [^] [ответить] [смотреть все]  –2 +/
http://google.com/ :)
image
 
  4.57, Аноним, 05:38, 22/06/2014 [^] [ответить] [смотреть все]  –1 +/
Да, а про недостатки винды честно расскажут на microsoft com ... весь текст скрыт [показать]
 
3.55, rob pike, 02:52, 22/06/2014 [^] [ответить] [смотреть все]  +/ Можете начать с "Larry Page's brother Carl Page had experience with venture capitalists, having sold eGroups to Yahoo for $432 million"
 
1.38, Аноним, 20:09, 21/06/2014 [ответить] [смотреть все]  –2 +/
Потому что заметить уязвимости в коде десяти форков гораздо легче чем в коде одн... весь текст скрыт [показать]
 
  2.41, Аноним, 20:18, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  –2 +/
Голословное утверждение То что базарная разработка кишит багами - факт Линуксо... весь текст скрыт [показать] [показать ветку]
 
  3.47, Аноним, 23:23, 21/06/2014 [^] [ответить] [смотреть все]  +/
Это тоже Изначально багов имхо примерно одинаково Потому что програмеры - челов... весь текст скрыт [показать]
 

Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40049

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика