توسعه دهندگان پروژه OpenBSD نسخه قابل حمل بسته LibreSSL 3.9.0 را ارائه کردند که در آن یک فورک OpenSSL با هدف ارائه سطح بالاتری از امنیت در حال توسعه است. پروژه LibreSSL بر روی پشتیبانی با کیفیت بالا از پروتکلهای SSL/TLS با حذف عملکردهای غیر ضروری، افزودن ویژگیهای امنیتی اضافی، و تمیز کردن و کار مجدد پایه کد متمرکز است. نسخه LibreSSL 3.9.0 یک نسخه آزمایشی در نظر گرفته می شود که ویژگی هایی را توسعه می دهد که در OpenBSD 7.5 گنجانده می شود. در همان زمان، نسخه پایدار LibreSSL 3.8.3 شکل گرفته است که چندین خطای خاص ویندوز را برطرف می کند و پشتیبانی از مکانیسم امنیتی CET (Control-flow Enforcement Technology) را تقویت می کند.
ویژگی های LibreSSL 3.9.0:
- پشتیبانی از الگوریتم های امضای دیجیتال مبتنی بر ECDSA با هش SHA-3 اضافه شده است.
- اضافه شدن پشتیبانی از HMAC با هش کوتاه SHA-2 و SHA-3 به عنوان PBE PRF.
- تغییراتی برای بهبود قابلیت حمل به پلتفرم های دیگر ایجاد شده است. برای جلوگیری از مشکلات مربوط به پیوند استاتیک، اکثر نمادهای صادر شده LibreSSL که برای سازگاری استفاده می شوند با پیشوند "libressl_" قرار می گیرند. در ساختهای مبتنی بر CMake، صادرات نمادهای libcrypto compat متوقف شده است.
- تغییراتی برای بهبود سازگاری با OpenSSL ایجاد شده است. به عنوان مثال، نام مستعار ChaCha20 و chacha20 برای الگوریتم ChaCha اضافه شده است، عملکرد SSL_library_init() و OPENSSL_init_ssl() یکپارچه شده است، و فراخوانی های EVP_{CIPHER,MD}_CTX_init() تنظیم شده است. رفتار OpenSSL
- ابزار openssl پشتیبانی از پرچم های "-new -force_pubkey"، "-multivalue-rdn"، "-set_issuer"، "-set_subject" و "-utf8" را اضافه کرده است.
- از فراخوانی OBJ_bsearch_() به تابع استاندارد ()bsearch تغییر کرد.
- اجرای توابع by_file_ctrl()، EVP_Cipher{Init,Update,Final}() و OBJ_* API ساده شده است.
- سازماندهی مجدد عمده EVP API انجام شده است. توابع EVP_add_{cipher,digest}() حذف شد.
- مدیریت ساده X509_TRUST.
- توابع BIO_dump*() بازنویسی شده اند.
- پشتیبانی از جداول جهانی که برای استفاده چند رشته ای مناسب نیستند، متوقف شده است. در این راستا، اختصاص نام مستعار به رمز و هش، افزودن رشته های خود، روش های ASN.1، PKEY و CRL دیگر پشتیبانی نمی شود.
- توابع BIO_set()، BIO_{sn,v,vsn}printf()، sk_find_ex() و OBJ_bsearch_() و همچنین بسیاری از توابع منسوخ شده CRYPTO API.
- دسترسی عمومی به APIهای X509_CERT_AUX و X509_TRUST متوقف شده است.
- پشتیبانی از الگوریتم های GOST و STREEBOG متوقف شده است.
- پشتیبانی از مکانیسم CET (تکنولوژی اجرای کنترل جریان) گسترش یافته است، که برای محافظت در برابر اجرای سوء استفاده های ساخته شده با استفاده از تکنیک های برنامه نویسی بازگشت گرا (ROP، برنامه نویسی بازگشت گرا) استفاده می شود.
منبع: opennet.ru
