The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Google перешел c OpenSSL на BoringSSL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от opennews (??) on 21-Окт-15, 21:34 
Разработчики BoringSSL (https://boringssl.googlesource.com/boringssl/), форка (https://www.opennet.me/opennews/art.shtml?num=40049) OpenSSL от компании Google, опубликовали (https://www.imperialviolet.org/2015/10/17/boringssl.html) обзор состояния проекта. Последнее время на BoringSSL уже переведены все программные продукты Google, как внутренние сервисы, так и такие проекты как Chrome/Chromium и An­droid. BoringSSL используется как единый TLS-стек для всех продуктов Google, что позволило значительно упростить сопровождение кодовой базы.


При этом использование BoringSSL в сторонних проектах может предоставлять трудности, так как код достаточно сильно почищен, разработчики не ставят перед собой цель полной совместимости с OpenSSL и ABI может меняться в зависимости от потребностей компании. В отличие от LibreSSL, разработка BoringSSL на заключалась в копировании имеющихся исходных текстов OpenSSL для их последующей переработки и чистки. Вместо этого BoringSSL развивался путём создания пустого проекта и поэтапного переноса кода из OpenSSL, функции за функцией с проведением их аудита, документирования и переработки.


В итоге, размер BoringSSL  составляет около 200 тысяч строк кода, в то время как кодовая база OpenSSL оценивается в 468 тысяч строк. При пересборке проектов с BoringSSL их размер уменьшается 300 Кб по сравнению  минимальной конфигурацией OpenSSL. В BoringSSL прекращена поддержка таких возможностей, как
Blow­fish, Cam­l­lia, CMS, функций сжатия, движков, IDEA, JPAKE, Ker­beros, MD2, MDC2, OCSP, PKCS#7, RC5, RIPE-MD, SEED, SRP, Whirlpool и т.п.

В BoringSSL переработаны такие механизмы, как система блокировок, поддержка многопоточности, обработка ошибок, добавлены механизмы динамического изменения размеров буферов и контроля за выходом за границы выделенных областей памяти. Вместо собственной реализации генератора псевдослучайных чисел в BoringSSL задействован штатный системный uran­dom. Из планов на ближайшее будущее отмечается продолжение чистки кода, реализация поддержки ChaCha20-Poly1305, Curve25519 и Ed25519, увеличение охвата функций тестовым набором.


URL: https://www.imperialviolet.org/2015/10/17/boringssl.html
Новость: http://www.opennet.me/opennews/art.shtml?num=43178

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Google перешел c OpenSSL на BoringSSL"  +15 +/
Сообщение от Аноним (??) on 21-Окт-15, 21:34 
>перешел c OpenSSL на BoringSSL
>Boring

перешел и приуныл. лол.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Google перешел c OpenSSL на BoringSSL"  –1 +/
Сообщение от Spalf (ok) on 21-Окт-15, 21:53 
Понятно что гуглу удобно, но нам это не есть хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от . on 22-Окт-15, 14:46 
> Понятно что гуглу удобно, но нам это не есть хорошо.

ну да, поскольку оно специально сделано так, что заменить им системную openssl нельзя, соответственно, имеем два последствия: 1. патчи гугля перестают улучшать качество кода openssl 2. ошибки, намеренные закладки и прочая, внесенные гуглем, может теперь заметить только либо сам гугль, либо те кто потратят время на анализ именно гуглевой библиотеки.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Google перешел c OpenSSL на BoringSSL"  +3 +/
Сообщение от Анончег on 21-Окт-15, 22:07 
> ... При пересборке проектов с BoringSSL их размер уменьшается 300 Кб

Не понятная фраза. Бинарники что ли меньше на 300 Кб получаются?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от Аноним (??) on 21-Окт-15, 22:15 
Потребление выделений памяти на блоки.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Google перешел c OpenSSL на BoringSSL"  +14 +/
Сообщение от бедный буратино (ok) on 22-Окт-15, 02:21 
google стал меньше на 300 кб
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Google перешел c OpenSSL на BoringSSL"  +1 +/
Сообщение от Ури on 22-Окт-15, 13:34 
Видимо, именно столько занимает скомпилированный код выброшенных на помойку "Blowfish, Camellia, CMS, функций сжатия, движков, IDEA, JPAKE, Kerberos, MD2, MDC2, OCSP, PKCS#7, RC5, RIPE-MD, SEED, SRP, Whirlpool".
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от Аноним (??) on 21-Окт-15, 22:20 
То есть Chrome/Chromium не будут поддерживать GOST и аппаратные модули?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Google перешел c OpenSSL на BoringSSL"  +1 +/
Сообщение от Аноним (??) on 21-Окт-15, 23:09 
И правильно, правительство послано.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Google перешел c OpenSSL на BoringSSL"  +3 +/
Сообщение от Тот_Самый_Анонимус on 22-Окт-15, 05:40 
ну или продукты гугла будут посланы, ежели у кого-то возникнет надобность в удалённых алгоритмах. Палка о двух концах же.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

35. "Google перешел c OpenSSL на BoringSSL"  +1 +/
Сообщение от Нет on 22-Окт-15, 16:37 
Назло маме отморожу уши. Неважно кто и что делает, главное чтобы не нашему правительству.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Google перешел c OpenSSL на BoringSSL"  +5 +/
Сообщение от Аноним (??) on 22-Окт-15, 08:07 
а чо, доселе можно было ходить хромом на ресурсы с совковой криптографией?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

32. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от . on 22-Окт-15, 14:39 
> То есть Chrome/Chromium не будут поддерживать GOST и аппаратные модули?

да, гуглю будет сложно тырить для своей коллекции защищенные гостом или аппаратно данные лузеров. Но он от этого явно не в очень большой печали, а денег ему вы все равно не заплатите.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Google перешел c OpenSSL на BoringSSL"  –1 +/
Сообщение от Аноним (??) on 21-Окт-15, 23:13 
LibreSSL,  BoringSSL, слишком много развелось форков
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Google перешел c OpenSSL на BoringSSL"  +4 +/
Сообщение от Крякер on 21-Окт-15, 23:48 
Угу. ломать замучался.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Google перешел c OpenSSL на BoringSSL"  –2 +/
Сообщение от myc on 21-Окт-15, 23:18 
Хм. У чем им не угодил blowfish и pkcs#7
???
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Google перешел c OpenSSL на BoringSSL"  +2 +/
Сообщение от Аноним (??) on 22-Окт-15, 01:25 
Очевидно своей ненужностью при имеющихся альтернативах.
Ваш К.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Google перешел c OpenSSL на BoringSSL"  +1 +/
Сообщение от Аноним (??) on 22-Окт-15, 08:02 
И какие же альтернативы убранным CMS и PKCS7?

Зато RC4 оставили.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от Аноним (??) on 22-Окт-15, 09:23 
Им криптография нужно строго для создания защищённых соединений. На кой им PKCS7 и CMS?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Google перешел c OpenSSL на BoringSSL"  +4 +/
Сообщение от Аноним (??) on 22-Окт-15, 09:34 
и менно так, это даже не форк, а кастратыш под местечковые нужды
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Google перешел c OpenSSL на BoringSSL"  +1 +/
Сообщение от MMx on 22-Окт-15, 11:42 
Откуда и название
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от vitalif (ok) on 22-Окт-15, 11:41 
Мержевать им теперь не перемержевать ))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Google перешел c OpenSSL на BoringSSL"  +1 +/
Сообщение от Andrey Mitrofanov on 22-Окт-15, 12:09 
> Мержевать им теперь, не перевымержевать ))

//patched

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от MMx on 22-Окт-15, 11:41 
Откуда и название
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Google перешел c OpenSSL на BoringSSL"  +1 +/
Сообщение от vitalif (ok) on 22-Окт-15, 12:03 
Откуда-откуда, они просто задолбались копипастить 200к строк кода
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от Аноним (??) on 22-Окт-15, 15:20 
> ABI может меняться в зависимости от потребностей компании

Т.е. это какбы и не настоящий опен-сорс, а просто исходный код в открытом доступе. Какой смысл это пиарить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Google перешел c OpenSSL на BoringSSL"  +1 +/
Сообщение от Аноним (??) on 22-Окт-15, 16:53 
> это какбы и не настоящий опен-сорс, а просто исходный код в открытом доступе

Open source — это и есть "просто исходный код в открытом доступе".

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от Andrey Mitrofanov on 22-Окт-15, 17:15 
>> это какбы и не настоящий опен-сорс, а просто исходный код в открытом доступе
> Open source — это и есть "просто исходный код в открытом доступе".

Его "папы", Реймонд-Перен и О'Райли там же крутился, http://opensource.org/definition считают, что нет.

Но копрорасты, под которых они прогибались, абсолютно не уважают мнение тех, кто под них прогибается. RMS-а боятся.   И "уважают", могет быть, если слегка потянуть за определения. У них там такое "уважение".   А об этих ноги вытирают и пхай-пхают их этот модный лейбл куда ни попадя (см."openwashing").

Как бы и поделом. Неча батькино Учение на себя тянуть, "императив" выхолащивать.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от Аноним (??) on 23-Окт-15, 10:49 
GPL/opensource запрещает ломать api?
Вот это новость.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

41. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от Andrey Mitrofanov on 23-Окт-15, 11:17 
> GPL/opensource запрещает ломать api?
> Вот это новость.

Я про "api" не писал. Я писал, что вас, опенсорсников, проприертарщики вертят на вашем опенсорсе, как хотят.   Судя по удивлению, я даже, наверное, попал.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

38. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от robux (ok) on 23-Окт-15, 08:05 
> Вместо собственной реализации генератора псевдослучайных чисел в BoringSSL задействован штатный системный urandom.

С учётом того, что транснациональная корпорация "гугл" полностью подчиняется АНБ, я ждал чего-то подобного в тексте новости.

Короче, "АНБ форкнуло OpenSSL, взяло под контроль, вставило бэк-доров и обязало гугл использовать этот форк и агитировать других" - суть новости.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Google перешел c OpenSSL на BoringSSL"  +/
Сообщение от Аноним (??) on 23-Окт-15, 11:01 
В libreSSL сделали тоже самое.
Давно доказано, что теоретически невозможно на прикладном уровне  собрать достаточно энтропии для генерации достаточно длиной последовательности случайных чисел на нужды криптографии.

https://youtu.be/GnBbhXBDmwU?t=26m5s

Попытки "собрать" энтропию или "улучшить" ее приводили и приводят к весьма опасным уязвимостям. Как на счет возможности угнать любой акаунт facebook?

http://www.youtube.com/watch?v=fWk_rMQiDGc

Реально, если вы не доверяете urandom то пить боржоми и пытаться набрать энтропию вручную уже поздно.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру