LibreSSL: Alternativa Securizata OpenSSL

Introducere

Poate cea mai devastatoare vulnerabilitate din ultimii ani a fost expunerea HeartSSed a OpenSSL. Aceasta este doar cea mai recenta serie dintr-o serie de vulnerabilitati majore care afecteaza un pachet software de securitate linchpin. De ce continua sa se intample asta? Care sunt solutiile? Mai mult, LibreSSL ar putea fi un inlocuitor la OpenSSL la nivel de industrie?

OpenSSL a fost dezvoltat initial in 1995 ca un set de instrumente de calitate comerciala, open-source si complet oferit pentru implementarea Secure Socket Layer (SSL) si Transport Layer Security (TLS) si ca o biblioteca software criptografica cu scop general. OpenSSL a fost adoptat de diverse sisteme de operare si aplicatii majore ca biblioteca criptografica principala, inclusiv toate distributiile principale Linux, variantele BSD, Solaris si este foarte utilizat de Windows. escorte…brasov www.matomex.com Cu toate acestea, poate datorita succesului, adaptarii rapide si implementarii diverse, calitatea codului s-a erodat. Ceea ce ar trebui sa fie un cod matur, cu un obiectiv relativ simplu si concis, a devenit o serie de caracteristici legate tangential, patchwork de „corectii rapide” si compatibilitate inapoi excesiva si portabilitate in detrimentul securitatii produsului.

Accesati LibreSSL. LibreSSL a inceput ca o furculita a OpenSSL 1. escorte anglia e-services.in 0.1g. Dezvoltat de echipa OpenBSD, LibreSSL este proiectat sa fie un inlocuitor de tip OpenSSL. Obiectivele sale declarate sunt modernizarea codului, securitatea si dezvoltarea celor mai bune practici de software. top escorte romania nameday.org In ultimele 18 luni, codul a facut pasi impresionanti in obiectivele mentionate. De asemenea, a luat decizii controversate, inclusiv inlaturarea caracteristicilor utilizate pe scara larga si eliminarea standardelor guvernamentale utilizate. Acest pachet software ar putea inlocui OpenSSL?

Acest articol incearca sa compare OpenSSL si LibreSSL ca principala biblioteca de criptare pentru mediile de productie prin:

  • Directie si progres
  • Securitate
  • Performanta
  • Compatibilitate si portabilitate
  • Functionalitate

Modernizare si curatare cod

O critica principala a OpenSSL este aceea ca industria practica cele mai bune practici, revizuirea si remedierea codului si dezvoltarea structurata in favoarea portabilitatii si functionalitatii rapide. Mai exact, ei au argumentat urmatoarele probleme:

  • Implementari multiple ale unei sarcini, in functie de sistemul de operare, arhitectura sau compilator, ceea ce duce la mai multe puncte de esec. escorte timisioara askoxford.info
  • Implementari neortodoxe pentru a rezolva defectiuni in sisteme de operare, arhitecturi sau compilatoare.
  • Iesirea codului, cum ar fi un labirint al declaratiilor C preprocesor.
  • Implementarea personalizata a apelurilor de biblioteca standard C, cum ar fi printf () sau gestionarea memoriei.
  • Un patchwork de „remedieri rapide”, mai degraba decat rezolvarea defectelor fundamentale ale proiectarii. escorte trans www.panamusic.com

Modernizare

OpenSSL isi propune portabilitatea in toate sistemele, inclusiv in cele care nu accepta functiile standard C. Realizeaza acest lucru prin crearea unui strat de abstractizare si reimplementarea API-urilor care ar trebui sa fie furnizate de sistemul de operare. Aceasta a dus la o varianta non-standard OpenSSL C Library, distincta de standardul C, care nu sufera acelasi nivel de control public, maturitate si bune practici sigure.

LibreSSL abordeaza aceste probleme presupunand ca codul este proiectat pentru un sistem de operare modern, compatibil POSIX, pe o arhitectura moderna, folosind un compilator care se conformeaza standardului C. escorte timisoara publitim bluecollaboration.biz Anume, LibreSSL presupune ca sistemul tinta este OpenBSD. In cazurile in care un apel C specific OpenBSD nu exista, LibreSSL aduce numai acea functie si mentine acelasi simbol, pentru a nu crea un strat de abstractizare.

In plus, aceasta presupunere le-a oferit dezvoltatorilor LibreSSL libertatea de a elimina coduri antichizate, specifice procesorului, specifice sistemului de operare, specifice compilatorului sau altfel non-standard. Un exemplu in acest sens este functia get_ip () care analizeaza un sir de adrese IP si returneaza fiecare octet intr-un tablou de caractere. escorte uri californiacatholic.com In loc sa utilizeze gethostbyname (), care a devenit parte a Bibliotecii C GNU 1997, OpenSSL a ales aceasta implementare deoarece Visual C 1.52c, din 1995, continea o eroare DLL nerezolvata cu functia sscanf (). Pana in prezent, LibreSSL a eliminat 140.000 de linii de cod, sau 23%. escorte huedin wlwt.info

Gestionarea memoriei

OpenSSL a insistat asupra portabilitatii pe fiecare platforma, indiferent de capacitatile sale. Acest lucru a devenit problematic atunci cand sistemul de operare sau biblioteca C nu a putut indeplini cerintele criptografice. Exemple incluse:

  • Sisteme de operare care nu contineau functia malloc (3)
  • Latenta inacceptabila la alocarea sau eliberarea memoriei
  • Incapacitatea de a aloca obiecte pe 64 de biti

OpenSSL a rezolvat aceste probleme dezvoltand un sistem intern de gestionare a memoriei, distinct de cel al sistemului de operare. Acest strat a fost o stiva fixa ​​Last-in-First-out care a atribuit memorie obiectelor solicitante, dar niciodata nu a fost igienizata sau eliberata din memoria folosita inapoi in sistemul de operare. escorte brssov onegoodwine.com In timp ce acest lucru a ajutat in portabilitate, a creat numeroase provocari, si anume:

  • Mentinerea si lizibilitatea codului OpenSSL au devenit extrem de dificile.
  • Debuggerii obisnuiti, cum ar fi Valgrind, sunt concepute pentru a analiza buffer-uri fixe alocate variabilelor individuale. Abordarea gestionarii memoriei de pe sistemul de operare a facut ca detectarea de reincarcare a bufferului sa fie practic imposibila.
  • Arhitectura de memorie LIFO s-a asigurat practic ca memoria expusa contine informatii sensibile, fapt evident din vulnerabilitatea Heartbleed. escorte valea oltului waptruk.com
  • Crearea de scurgeri de memorie care nu au putut fi detectate de catre colectoarele de gunoi.

LibreSSL a simplificat procesul schimband responsabilitatea administrarii memoriei in sistemul de operare. In acest scop, LibreSSL a eliminat complet stratul de gestionare a memoriei OpenSSL, a simplificat macro-urile de nivel superior si a utilizat bibliotecile POSIX C. Dezvoltatorii comenteaza ca acest lucru a dezvaluit mii de erori de revarsare a bufferilor, care au fost ulterior corectate. escorte baile herculane www.fairlop.redbridge.sch.uk

Remedierea biletelor

Fundatia software OpenSSL (OSF) a aparut lent sau neinteresat in privinta remedierii problemelor documentate.



  • cluj escorte
  • escorte pustoaice berceni
  • escorte bucuresti lux
  • escorte dulci galati
  • escorte sex pitesti
  • escorte brasov sex
  • escorte elvetia
  • escorte oradia
  • escorte independente
  • escorte hunedoara
  • escorte masaj
  • escorte sites
  • escorte iasi site:nimfomane.com
  • escorte consranta
  • olx escorte
  • escorte dr taberei
  • escorte ploiesti anal
  • publi 24 escorte cluj
  • escorte bz
  • escorte brasoc





Ca o valoare, la lansarea initiala a LibreSSL in aprilie 2014, sistemul de bilete bug-uri ale OpenSSL continea 1104 bilete deschise, cu cele mai vechi date din aprilie 2002. Pana in prezent, 115 articole din acea lista inca neremediate. Stagnarea remedierii biletelor a exacerbat dezinteresul pentru contributia comunitatii. travestite escorte mobiletacocart.com Ca parte a obiectivului sau, LibreSSL a remediat toate biletele deschise si a distribuit echipei OpenSSL vulnerabilitatile identificate recent pentru vulnerabilitate.

Securitate

Securitatea este un obiectiv central pentru LibreSSL, pe care isi propun sa il atinga prin cresterea lizibilitatii si revizuirii codului, eliminand functionalitatea nesigura si igienizarea memoriei.

Lizibilitatea codului

Dupa cum s-a discutat, LibreSSL isi asuma un nivel de competenta al platformei de baza. Acest lucru le-a oferit dezvoltatorilor LibreSSL libertatea de a elimina masini mari de cod confuz sau neinstruite, cum ar fi instructiunile preprocesorului cuibarit pentru anumite sisteme de operare sau arhitecturi. escorte summerland www.johnscreekendo.net Desi acest lucru nu poate duce imediat la o securitate sporita, aceasta a permis dezvoltatorilor externi sa revizuiasca codul cu mai multa usurinta si sa contribuie la securitate si calitate generala.

Eliminarea functionalitatii

Odata cu dezvaluirea vulnerabilitatii POODLE, analistii de securitate au considerat SSLv3 nesiguri si nu sunt folositi in medii de productie. Cu toate acestea, multe medii necesita inca SSLv3 in scopuri mostenite si nu pot migra catre TLSv1.1. escorte blonde bucuresti www.littleluly.com In acest scop, OpenSSL mentine compatibilitatea inapoi cu SSLv3 si toate aplicatiile compilate pentru SSLv3 sunt inca functionale. In schimb, LibreSSL 2.2.2 a eliminat integral suportul SSLv3. escorte beclean uslawdigest.com In plus, LibreSSL a eliminat apartamentele de cifrare slabe sau sparte, inclusiv Parola la distanta securizata (SRP), Cheia pre-impartasita (PSK) si toate cifrele de export. LibreSSL a adaugat suport pentru cifrele ChaCha, GOST si IDEA. In timp ce deciziile LibreSSL asigura o securitate sporita din punct de vedere tehnic, aceasta poate avea un impact negativ in mediile care necesita suport SSLv3 vechi.

randomizare

Generarea de numere aleatorii este un aspect critic al criptografiei. escorte milf priceking.us Fara o insamantare corespunzatoare, un atacator este capabil sa prezice cheile de criptare private.

OpenSSL se bazeaza pe sistemul de operare pentru a genera numere aleatorii. In cazul sistemelor UNIX si Unix, acest lucru inseamna, de obicei, citirea din / dev / urandom sau / dev / random. Cu toate acestea, in cazul in care sistemul de operare nu poate genera numere aleatorii, OpenSSL furnizeaza apelurile API RAND_add (3SSL) si RAND_seed (3SSL), permitand utilizatorilor sa semene functia PRNG. escorte suceava mature www.gamespeopleplay.biz

LibreSSL transfera responsabilitatea generarii de numere aleatorii in intregul sistem de operare. LibreSSL mentine in mod vestiat functia de compatibilitate binara, dar a eliminat tot codul asociat. Este demn de remarcat faptul ca, din cauza lipsei de insamantare, lansarea initiala a LibreSSL a continut un defect critic in functia PRNG, unde doua procese furcate contineau aceeasi seminta PRNG si astfel au generat aceleasi date aleatorii. Aceasta vulnerabilitate a fost rapid plasata. escorte din buzau wamu.style.coocan.jp

Sanitizarea memoriei

Igienizarea memoriei este o caracteristica centrala a LibreSSL care lipseste de OpenSSL. Inainte de alocarea de obiecte, LibreSSL elimina in mod explicit memoria folosind functia Open_SBB explicit (3). Acest lucru reduce proactiv impactul expunerii la memorie in cazul unei vulnerabilitati viitoare sau a unui proces neprivilejat care obtine controlul asupra unui segment de memorie neplacut. Echipa LibreSSL a creat un modul portabil pentru sisteme de operare care nu au aceste apeluri API specifice OpenBSD. publi24 escorte craiova veteransadvocacyproject.com

Enumeratii comune de vulnerabilitate

Intrucat LibreSSL este o furculita a OpenSSL 1.0.1g, este supusa la multe dintre aceleasi probleme si vulnerabilitati care afecteaza multe dintre OpenSSL. De la data lansarii initiale a LibreSSL din aprilie 2014 si pana astazi, exista 45 de CVE care afecteaza OpenSSL. recenzii escorte cluj tunesbin.com Dintre acestea, doar douazeci si patru de LibreSSL afectate, cu o alta vulnerabilitate afecteaza numai LibreSSL. Aceasta este dovada demonstrabila a faptului ca LibreSSL a facut progrese in securitate.

Conformitate 140-2

OSF a cautat sa respecte OpenSSL FIPS 140-2. In consecinta, OSF a creat modulul Obiect FIPS OpenSSL, care ofera o API pentru a invoca functii criptografice aprobate de FIPS. xxx escorte www.atlantahardware.com Acest lucru este deosebit de important pentru sistemele informatice federale care sunt obligate sa respecte standardele 140-2. In schimb, LibreSSL a eliminat modulul compatibil FIPS din codul sau, argumentand ca FIPS 140-2 foloseste cifre slabe sau sparte si dauneaza securitatii. LibreSSL nu respecta nici FIPS 140-2 si nu este un obiectiv al proiectului. Acest lucru poate avea un impact asupra sistemelor informatice guvernamentale contra riscului, care trebuie sa respecte standardele 140-2. escorte outcall www.vnuspa.org

portabilitate

Dupa cum s-a discutat, LibreSSL a fost scris special pentru OpenBSD, iar echipa OpenBSD a purtat LibreSSL pentru sisteme de operare moderne care se conformeaza standardelor POSIX.



  • forum escorte pitesti
  • escorte .com
  • video escorte
  • milf escorte bucuresti
  • escorte murss
  • despre escorte
  • sex escorte iasi
  • escorte piata victoriei
  • escorte bucuresto
  • escorte paris
  • escorte negresa
  • escorte cluh
  • escorte sexinet
  • escorte it
  • escorte galati in masina
  • escorte bucuresti futute
  • escorte care inghit
  • escorte titu
  • escorte timisoara studente
  • vivastreet escorte





In consecinta, sistemele vechi sau sistemele care nu sunt conforme cu POSIX nu pot rula LibreSSL.

Suport aplicatie

LibreSSL isi propune sa fie un inlocuitor pentru OpenSSL fara modificari ale aplicatiilor existente. LibreSSL realizeaza compatibilitatea prin mentinerea apelurilor API expuse, chiar daca functionalitatea lor este anulata. escorte nimfomane itthartford.biz Cu toate acestea, multe aplicatii, cum ar fi Apache Web Server, trebuie sa fie patchate putin inainte de a se conecta cu LibreSSL. Acest lucru se datoreaza mai ales caracteristicilor eliminate sau eliminarii interfetelor expuse inutil.

Suport pentru sistem de operare

Echipa LibreSSL a portat-o ​​la numeroase sisteme de operare, inclusiv Linux, Windows, FreeBSD, OS X si Solaris. Este demn de remarcat faptul ca in afara OpenBSD, niciun sistem de operare nu are un suport pre-compilat la nivel de pachet pentru LibreSSL. escorte bucuresti total www.onami.com Astfel, toate binarele si aplicatiile trebuie compilate manual si modernizate manual. LibreSSL a eliminat in mod explicit asistenta pentru Classic Mac OS, Windows pe 16 biti, DOS, VAS si OS / 2.

Performanta

Testele de performanta au fost efectuate pe un stoc Ubuntu 14.04 LTS pentru instalarea kernel-ului 3. escorte roscate njcourtsonline.us 19.0-28-generice folosind Apache 2.4.16. recenzii escorte craiova usexpresscourier.com Ambele masini virtuale rulau pe un singur nucleu de la un procesor Intel (R) Core (TM) i7-4712MQ CPU @ 2.30GHz CPU cu 2 gigabyte de memorie RAM. Testele au fost difuzate OpenSSL 1.0. escorte mature timisoara bmcevoylaw.com 1g. si, respectiv, LibreSSL 2.3.0. Testul a utilizat versiunea 2.3 ApacheBench cu 100.000 de solicitari pe test pentru o sarcina utila de 45 de octeti.

In ceea ce priveste viteza, OpenSSL depaseste sau este, in cel mai bun caz, comparabil cu LibreSSL in toate cifratele testate. Impactul asupra performantei este atribuit operatiunilor de igienizare a memoriei explicite din LibreSSL care nu sunt prezente in OpenSSL si a functiilor de optimizare care au fost dezactivate in LibreSSL.

Pregatire etica in domeniul hackingului – Resurse (InfoSec)

concluzii

Atat LibreSSL cat si OpenSSL au avantaje si dezavantaje, in functie de o anumita aplicatie, cerinta sau toleranta.

Dintr-o perspectiva pur de securitate, LibreSSL este castigatorul clar, prin abordarea proactiva a problemelor de securitate, prin dezactivarea cifrelor si a protocoalelor sparte si prin construirea securitatii in proiectare. OpenSSL utilizeaza o abordare reactiva si nu reuseste sa abordeze in mod adecvat securitatea in proiectare. In plus, in timp ce inca impartasesc multe dintre aceleasi vulnerabilitati, se poate anticipa ca LibreSSL va fi supus unei diminuari a numarului de vulnerabilitati partajate si mai putin avansate in general.

Cu toate acestea, aceasta abordare are si un dezavantaj. Concentratia LibreSSL asupra securitatii inseamna ca nu este compatibila inapoi cu cifre sau protocoale invechite si, prin urmare, nu va functiona in medii vechi. In plus, refuzul declarat de LibreSSL de a respecta FIPS 140-2 garanteaza eficient sistemele guvernamentale si sistemele de operare la nivel de intreprindere nu il vor folosi niciodata.

OpenSSL depaseste LibreSSL in portabilitate. Acest lucru nu se datoreaza unui esec in LibreSSL, ci este un test al adaptarii reusite a OpenSSL. Deoarece niciun sistem de operare major nu accepta in prezent LibreSSL, LibreSSL si aplicatiile dependente trebuie compilate si instalate manual, in loc sa foloseasca sistemele de gestionare a pachetelor in FreeBSD, Debian, Ubuntu sau Redhat.

In ceea ce priveste performanta, OpenSSL depaseste LibreSSL in toate cifrele. Dupa cum s-a spus, acest lucru este atribuibil operatiunilor de igienizare cu memorie explicita a LibreSSL. Performanta poate fi neglijabila in aplicatiile cu disponibilitate redusa, dar poate avea impact in medii mari de productie sensibile la latenta.

Atat LibreSSL cat si OpenSSL au punctele lor forte si punctele slabe. OpenBSD a demonstrat ca LibreSSL este pregatit pentru mediile de productie, dar inca a fost dislocat pe scara larga. In cele din urma, alegerea dintre LibreSSL si OpenSSL este o varianta a problemei perene de securitate versus functionalitate.