OpenBSD projekto kūrėjai pristatė nešiojamojo LibreSSL 3.9.0 paketo leidimą, kuriame kuriama OpenSSL šakutė, skirta užtikrinti aukštesnį saugumo lygį. „LibreSSL“ projektas orientuotas į aukštos kokybės SSL/TLS protokolų palaikymą, pašalinant nereikalingas funkcijas, pridedant papildomų saugos funkcijų ir gerokai išvalant bei perdirbant kodų bazę. LibreSSL 3.9.0 leidimas laikomas eksperimentine versija, kuria kuriamos funkcijos, kurios bus įtrauktos į OpenBSD 7.5. Kartu buvo suformuotas stabilus LibreSSL 3.8.3 leidimas, kuris ištaiso keletą specifinių Windows klaidų ir sustiprina CET (Control-flow Enforcement Technology) saugos mechanizmo palaikymą.
LibreSSL 3.9.0 funkcijos:
- Pridėtas ECDSA pagrįstų skaitmeninio parašo algoritmų su SHA-3 maišos palaikymas.
- Pridėtas HMAC palaikymas su sutrumpintomis SHA-2 ir SHA-3 maišomis kaip PBE PRF.
- Buvo atlikti pakeitimai, siekiant pagerinti perkeliamumą į kitas platformas. Siekiant išvengti problemų dėl statinio susiejimo, daugumos LibreSSL eksportuotų simbolių, naudojamų suderinamumui užtikrinti, priešdėlis yra „libressl_“. CMake pagrįstose versijose libcrypto compat simbolių eksportavimas buvo sustabdytas.
- Buvo atlikti pakeitimai, siekiant pagerinti suderinamumą su OpenSSL. Pavyzdžiui, buvo pridėti ChaCha algoritmo slapyvardžiai ChaCha20 ir chacha20, suvienodintas funkcijų SSL_library_init() ir OPENSSL_init_ssl() veikimas, o EVP_{CIPHER,MD}_CTX_init() skambučiai pritaikyti prie OpenSSL elgesys.
- „Openssl“ programa papildė vėliavėlių „-new -force_pubkey“, „-multivalue-rdn“, „-set_issuer“, „-set_subject“ ir „-utf8“ palaikymą.
- Pakeista iš OBJ_bsearch_() iškvietimo į standartinę bsearch() funkciją.
- By_file_ctrl(), EVP_Cipher{Init,Update,Final}() ir OBJ_* API funkcijų įgyvendinimas buvo supaprastintas.
- Buvo atlikta esminė EVP API pertvarka. EVP_add_{cipher,digest}() funkcijos buvo pašalintos.
- Supaprastintas X509_TRUST valdymas.
- Funkcijos BIO_dump*() buvo perrašytos.
- Pasaulinių lentelių, kurios nėra pritaikytos naudoti kelių gijų, palaikymas buvo nutrauktas. Šiuo atžvilgiu slapyvardžių priskyrimas šiframs ir maišoms, savo eilučių pridėjimas, ASN.1, PKEY ir CRL metodai nebepalaikomi.
- Pašalintos BIO_set(), BIO_{sn,v,vsn}printf(), sk_find_ex() ir OBJ_bsearch_() funkcijos, taip pat daugelis nebenaudojamų CRYPTO API funkcijų.
- Vieša prieiga prie X509_CERT_AUX ir X509_TRUST API buvo sustabdyta.
- GOST ir STREEBOG algoritmų palaikymas buvo nutrauktas.
- Išplėstas CET (Control-flow Enforcement Technology) mechanizmo palaikymas, naudojamas apsaugoti nuo išnaudojimų, sukurtų naudojant į grąžą orientuoto programavimo techniką (ROP, Return-Oriented Programming).
Šaltinis: opennet.ru
