URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 65331
[ Назад ]
Исходное сообщение
"Релиз библиотеки OpenSSL 1.0.0"
Отправлено opennews , 29-Мрт-10 17:44 
Вышел (http://openssl.org/news/) релиз библиотеки с реализацией протоколов SSL/TLS - OpenSSL 1.0.0 (http://www.openssl.org/), В новой версии представлено более 100 изменений (http://www.openssl.org/source/exp/CHANGES) относительно ветки 0.9.8, особенно много изменений связано с попытками увеличения надежности, безопасности и стабильности.

Основные новшества:

-  Добавлена поддержка российских криптографических алгоритмов, реализованных благодаря компании Криптоком (http://cryptocom.ru/OpenSource/OpenSSL_rus.html). Например, поддерживаются стандарты: ГОСТ Р 34.10-2001 (электронная подпись ); VKO 34.10-2001 (распределение ключей ); ГОСТ Р 34.11-94 (хэширование); ГОСТ 28147-89 (симметричное шифрование);


-  Упрощение указания типов хешей и шифров при работе в командной строке, отныне можно указывать как "openssl dgst -sha256 foo", так и в сокращенном виде "openssl sha256 foo".        

-  Для записи приватных ключей по умолчанию используется формат PKCS#8, не зависимый от...

URL: http://openssl.org/news/
Новость: http://www.opennet.me/opennews/art.shtml?num=25999

Содержание
Сообщения в этом обсуждении
"Релиз библиотеки OpenSSL 1.0.0"
Отправлено Аноним , 29-Мрт-10 17:44 
Это действительно случилось?! Я не сплю? :) Я думал этого никогда не произойдет. :)
"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено Аноним , 29-Мрт-10 17:50 
Сколько еще критических дырок найдут в новой версии? И ведь это библиотека, на базе которой должна строиться безопасность других систем!!!
"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено Zenitur , 29-Мрт-10 18:24 
> Сколько еще критических дырок найдут в новой версии?

Уверен, что не найдут, или будут находить очень мало... Вспомни, сколько времени он создавался.
> И ведь это - библиотека, на базе которой создана основа безопасности всех свободных систем!

И ведь это утверждение основано на основе сиюминутного предположения, которое вовсе не должно оказаться правдивым!

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено PereresusNeVlezaetBuggy , 29-Мрт-10 19:43 
>> Сколько еще критических дырок найдут в новой версии?
>
>Уверен, что не найдут, или будут находить очень мало... Вспомни, сколько времени
>он создавался.

Ну как сказать… http://www.peereboom.us/assl/html/openssl.html

Я вовсе не хочу сказать, что все авторы OpenSSL — идиоты. Но местами результат действительно, мягко говоря запутывает. А где путаница — там и ошибки. А где ошибки — там и проблемы с надёжностью, в том числе с безопасностью.

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено аноним , 29-Мрт-10 20:06 
> Уверен, что не найдут

Грошь цена твоей уверенности, учитывая как ты "шаришь" в предмете

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено Zenitur , 30-Мрт-10 02:37 
Вам известно, как я разбираюсь в предмете? Информатики :-)?
"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено аноним , 30-Мрт-10 20:25 
Да. И всем известно. Ваши сообщения варьируются от наивности до бредовости, и за рамки этого диапазона, к сожалению, не выходят.
"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено Zenitur , 30-Мрт-10 23:53 
Ну и?
"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено User294 , 30-Мрт-10 22:23 
>Сколько еще критических дырок найдут в новой версии? И ведь это библиотека,
>на базе которой должна строиться безопасность других систем!!!

Сделайте лучше, с шахматами и поэтессами. Честное слово, мы скажем спасибо, если там будет меньше дыр при том же количестве фич. И даже будем пользоваться этой либой, если, конечно, она будет под достаточно либеральной лицензией.

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено Zenitur , 29-Мрт-10 18:19 
Уже обновился! Люди, никто не знает, а почему в src.rpm от последнего openSuSE на исходник от 0.9.8буква накладывается 8 патчей каких-то?..
Подумать только... У openSSL 1-я версия... Это событие!
"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено pavlinux , 29-Мрт-10 20:48 
Эти, думаю, понятно для чего.
> openssl-0.9.6g-alpha.diff
> openssl-0.9.7f-ppc64.diff
> openssl-hppa-config.diff
> openssl-0.9.8-sparc.dif

CVE - это дыры:
http://secunia.com/advisories/cve_reference/CVE-2009-3555/
http://secunia.com/advisories/cve_reference/CVE-2009-4355/
> openssl-CVE-2009-3555.patch
> openssl-CVE-2009-4355.patch

Это вообще не ясно, видимо не для Линух Осей
> openssl-0.9.8a.ca-app-segfault.bug128655.dif

так как free() на нулевом указателе, возвращает нулевой размер. (должен ;)


ANSI-C Standard:
The ANSI standard ANSI X3.159-1989 "Programming Language C." 
specifies that free(NULL) is a no op.
"free deallocates the space pointed to by p: it does nothing if p is NULL."
Quoted from "The C Programming Language"
second edition by Kernighan and Ritchie with the subtitle "ANSI C".
   1. Kernighan and D. Ritchie, "Programming Language C", 
Second edition. ISBN 5-8459-0891-4
Chapter 8.7 "Example - Memory Allocator", page 197, 2 line from the bottom :)
    "... if the pointer is NULL, creates releases list of free blocks.
    It contains one block of size zero, and points back to itself "

у них тут SIGFALT ...
-       free_index(db);
+       if (db)
+               free_index(db);

тут пробел забыли
>openssl-0.9.8-flags-priority.dif

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено pavlinux , 29-Мрт-10 23:29 
>у них тут SIGFALT ...
>-       free_index(db);
>+       if (db)
>+               free_index(db);

Лошара я последний... free_index() с free() перепутал... Упс. :)

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено pavlinux , 29-Мрт-10 20:21 
> ГОСТ Р 34.10-2001 (электронная подпись );
> VKO 34.10-2001 (распределение ключей );
> ГОСТ Р 34.11-94 (хэширование);
> ГОСТ 28147-89 (симметричное шифрование);

А где 2004 ГОСТ ????  Зачем нам эти дырявые ...

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено PereresusNeVlezaetBuggy , 29-Мрт-10 20:25 
>> ГОСТ Р 34.10-2001 (электронная подпись );
>> VKO 34.10-2001 (распределение ключей );
>> ГОСТ Р 34.11-94 (хэширование);
>> ГОСТ 28147-89 (симметричное шифрование);
>
>А где 2004 ГОСТ ????  Нах... нам эти дырявые ...

А где ваш патч? Только не говорите, что релиз вышел слишком быстро и вы не успели… ;)

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено pavlinux , 29-Мрт-10 20:26 
>>А где 2004 ГОСТ ????  Нах... нам эти дырявые ...
>
>А где ваш патч? Только не говорите, что релиз вышел слишком быстро
>и вы не успели… ;)

Вы знали, вы знали

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено homyur , 30-Мрт-10 00:56 
Я, конечно, могу ошибаться, но ГОСТ 34.310-2004 и ГОСТ Р 34.10-2001 отличаются только названиями. Первый является ГОСТом стран СНГ, а второй - Российской Федерации. Больше отличий быть не должно.
"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено pavlinux , 30-Мрт-10 01:25 
>Я, конечно, могу ошибаться, но ГОСТ 34.310-2004 и ГОСТ Р 34.10-2001 отличаются
>только названиями. Первый является ГОСТом стран СНГ, а второй - Российской
>Федерации. Больше отличий быть не должно.

Может быть, не вникал, у нас везде как 2004 проходит.

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено Andrey Mitrofanov , 30-Мрт-10 09:53 
>А где 2004 ГОСТ ????  Зачем нам эти дырявые ...

А зачем нам эти несертифицированыые ГОСТ-ы?...

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено pavlinux , 30-Мрт-10 12:25 
>>А где 2004 ГОСТ ????  Зачем нам эти дырявые
>А зачем нам эти не сертифицированные ГОСТ-ы?

Гы... Стандарт не может иметь сертификата.
Сертификат дают на софт и железо их использующий ...

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено koblin , 30-Мрт-10 12:30 
наверное можно (теоретически) сертифицировать какую-то версию openssl в составе вашего СКЗИ
"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено Антон , 01-Апр-10 10:54 
>Добавлена поддержка российских криптографических алгоритмов

Объясните пжлуста дураку, это значит что я теперь смогу придти в ГОС контору
и сказать "парни , я могу вам все шифровать и все по ГОСТу"? Далее поставить nix систему с OpenSSL 1.x и не париться ?

"Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устране..."
Отправлено Andrey Mitrofanov , 01-Апр-10 11:11 
>>Добавлена поддержка российских криптографических алгоритмов
>
>Объясните пжлуста дураку, это значит что я теперь смогу придти в ГОС
>контору

Нет, это означает, что ты сможешь из этой конторы пойти, куда скажут, -- по-прежнему в полном соответствии с ...О мерах по соблюдению законности в области... и ...о лицензировании отдельных видов деятельности... и прочими декретами Власти.

---Президент Путин, конечно, обещал автограф поставить на ReleaseNote-сах v1.0.0... но, похоже, обманул.