OpenBSDプロジェクトの開発者たちは、より高いレベルのセキュリティを提供するように設計されたOpenSSLのフォークであるポータブル版LibreSSL 3.9.0パッケージをリリースしました。LibreSSLプロジェクトは、不要な機能を削除し、セキュリティ機能を追加し、コードベースを大幅に整理・再構築することで、SSL/TLSプロトコルの高品質なサポートを提供することに重点を置いています。LibreSSL 3.9.0は実験的なリリースと位置づけられており、OpenBSD 7.5に搭載される機能の開発が進められています。同時に、いくつかの特定の問題を修正した安定版LibreSSL 3.8.3もリリースされました。 Windows エラー処理と、CET(制御フロー強制技術)保護メカニズムのサポート強化。
LibreSSL 3.9.0 の機能:
- SHA-3 ハッシュを使用した ECDSA ベースのデジタル署名アルゴリズムのサポートが追加されました。
- 切り捨てられた SHA-2 および SHA-3 ハッシュを PBE PRF として使用する HMAC のサポートが追加されました。
- 他のプラットフォームへの移植性を向上させるために変更が加えられました。静的リンクの問題を回避するために、互換性のために使用されるほとんどの LibreSSL エクスポート シンボルには「libressl_」というプレフィックスが付けられます。 CMake に基づくビルドでは、libcrypto compat シンボルのエクスポートが停止されました。
- OpenSSL との互換性を向上させるために変更が加えられました。たとえば、ChaCha アルゴリズムのエイリアス名 ChaCha20 と chacha20 が追加され、SSL_library_init() 関数と OPENSSL_init_ssl() 関数の操作が統合され、EVP_{CIPHER,MD}_CTX_init() 呼び出しがOpenSSL の動作。
- openssl ユーティリティには、「-new -force_pubkey」、「-multivalue-rdn」、「-set_issuer」、「-set_subject」、および「-utf8」フラグのサポートが追加されました。
- OBJ_bsearch_() 呼び出しの使用から標準の bsearch() 関数に変更されました。
- by_file_ctrl()、EVP_Cipher{Init,Update,Final}()、および OBJ_* API 関数の実装が簡素化されました。
- EVP API の大規模な再編成が行われました。 EVP_add_{cipher,digest}() 関数を削除しました。
- X509_TRUST の処理が簡素化されました。
- BIO_dump*() 関数が書き直されました。
- マルチスレッドの使用に適合していないグローバル テーブルのサポートは廃止されました。この点に関して、暗号およびハッシュへのエイリアスの割り当て、独自の文字列、ASN.1、PKEY、および CRL メソッドの追加はサポートされなくなりました。
- BIO_set()、BIO_{sn,v,vsn}printf()、sk_find_ex()、OBJ_bsearch_() 関数、および多くの非推奨の CRYPTO API 関数を削除しました。
- X509_CERT_AUX および X509_TRUST API へのパブリック アクセスは停止されました。
- GOST および STREEBOG アルゴリズムのサポートは廃止されました。
- CET (Control-flow Enforcement Technology) メカニズムのサポートが拡張され、リターン指向プログラミング技術 (ROP、Return-Oriented Programming) を使用して構築されたエクスプロイトの実行を保護するために使用されます。
出所: オープンネット.ru
