LibreSSL: очищенная версия OpenSSL (проект OpenBSD)

    Участники проекта OpenBSD, разработавшие одноименную операционную систему, а также различные инструменты, такие как OpenSSH, OpenBGPD, OpenNTPD и OpenSMTPD, запустили проект LibreSSL. Это очищенная от лишнего кода, более простая версия OpenSSL.

    Тео де Раадт (Theo de Raadt), основатель и руководитель проектов OpenBSD и OpenSSH, сказал, что им уже удалось избавиться примерно от 90 000 строк кода на C и 150 000 строк содержимого в целом. Удалена поддержка MacOS, Netware, OS/2, VMS и Windows, поскольку всё это мало кому нужно.

    «Мы пытаемся сделать код более понятным. 99,99% представителей сообщества не нужна поддержка VMS, а 98% не нужна поддержка Windows, — говорит Тео де Раадт. — Им нужна поддержка POSIX, чтобы могли запускаться Unix и Unix-производные. Людей не заботит FIPS. Код должен быть простым. Даже после всех изменений, кодовая база по-прежнему совместима с API. Наше целое собрание портов (8700 приложений) продолжает компилироваться и работать, после всех изменений».

    OpenSSL считается стандартной библиотекой для криптографической защиты трафика с помощью протоколов SSL/TLS. Но репутация этой программы оказалась сильно подмочена багом Heartbleed. Как выяснилось, примерно две трети «защищенных» сайтов интернета в течение последних двух лет были открыты для прослушивания. Эксперты предполагают, что об этой уязвимости ведущие спецслужбы мира узнали в течение несколько недель после ее появления в 2012 году, поскольку в спецслужбах работают специальные отделы по поиску багов в программах с открытым исходным кодом.


    Рабочее место сотрудника штаб-квартиры АНБ в Форт-Миде (Мэриленд)

    Инцидент вызвал массовую критику качества кода OpenSSL, плохо документированного и местами неграмотно написанного, см. статью «OpenSSL писали обезьяны».

    Проект LibreSSL должен стать достойной альтернативой. Среди фрагментов, который удалили в форке OpenSSL, — код, который сами разработчики OpenSSL планировали удалить, но так и не сделали этого.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 54

      –3
      Что же за девайсина у него под монитором? Похоже на роутер, но зачем ему 16-портовый роутер, и что туда во все порты так плотно подключено?
        +18
          0
          Может быть это не роутер, а KVM.
          Скорее всего у него там стоит несколько компов для тестов.
            0
            Мимо расположенный комментарий
            +23
            Сразу видно, что вы не застали времена PS/2.
              –1
              Застал, но в те времена одного компьютера мне хватало на все мои нужды.
                –6
                похоже, что за одним рабочим местом, работает несколько человек
              +1
              Судя по виду коннекторов, туда включено 16 PS/2 мышек-клавиатур :-)
                +5
                Всего лишь 1 мышь, 1 клава, и один моник, остальные четыре провода от kvm'ки подключаются непосредственно к компам
                  –8
                  У кого-то большие проблемы с юмором.
                    +6
                    у кого?
                  0
                  Присоединюсь к вопросам по картинке — не могу понять, к верхнему левому телефону LPT чтоль подохдит или 25-пиновый COM? Или там за ним что-то еще стоит и не видно?
                    0
                    Cейчас в NSA используются STE (Secure Terminal Equipment) соотвественно ISDN и RS-232.
                    Справа NSTS NSA/CSS Secure Telephone System
                  +15
                  Вот когда говорят о кросс платформенности и одновремнно выпиливают Win и Mac… Плохая новость. Портабельность програм пострадает.
                    +5
                    А, кстати, вопрос к знатокам: в чем разница с технической точки зрения в поддержке Mac и Linux (или *BSD) вроде как везде nix подобные ядра и Posix?
                      +10
                      Не путайте Mac и Mac OS X. Как я понял, они именно старую макось выпилили.
                        –1
                        Там нагромождение поддержек кучи исторических платформ.
                          0
                          Прошу прощения. Забыл уже, что такие были.
                        0
                        Никто не говорит о кроссплатформенности, говорят о POSIX — совместимости. И если ваша операционная система не поддерживает POSIX, может уже хватит пользоваться Windows 3.11?
                          +7
                          posix-совместимость под Win?! Сокеты, потоки, рожь синхронизация, вот это всё — под виндой несколько иначе сдалано и нужно учитывать.
                            0
                            Ну, сложно сказать однозначно. У Windows старших версий можно доставлять компонент, отвечающий за POSIX-совместимость. И они даже сертифицировались где-то.

                            Другое дело, что POSIX — это только часть UNIX-окружения, и большинство программ, написанных под Unix, используюут API, которые нигде не стандартизированы, но де-факто присутствуют во всех *nix-системах.
                              +3
                              Не у старших, а у win2k, а у старших его наоборот выпилили — у win7 его уже нет. И не работал он, так как создавал полностью изолированное окружение (нельзя взаимодействовать с нативными приложениями и GUI), а тогда проще виртуализацию использовать.
                              И да, на POSIX есть стандарты, которые активно развиваются. Другое дело, что стандарты стандартами, а ядра идут своим путём (хотя есть положительная тенденция добавлять в ядра то, что есть/добавлено в стандарт).
                                +3
                                В Win7 еще не выпилили, но его переименовали из SFU (Services For Unix) в SUA (Subsystem for Unix Applications) — это еще в Висте. В Win8 его еще можно поставить, но он deprecated. В Win8.1 выпилили окончательно. В серверной линейке аналогично.
                                  0
                                  Пишу из 2017 года. Его выпилили, но в Windows 10 сделали поддержку отдельного дерева unix-каталогов на манер cygwin или copperative linux. GUI можно пускать через XMING.
                                +2
                                Давайте не будем рассказывать сказок, а?

                                POSIX компонент там был изначально чтобы можно было поставлять Windows в госсулжбы США (да, там было раньше такое требование).

                                И он был сделан так, чтобы пройти все тесты но при этом реально его использовать было бы нельзя. В последних версиях Windows его выпилили за ненадобностью.
                                  0
                                  Пишу из 2017 года. Его выпилили, но в Windows 10 сделали поддержку отдельного дерева unix-каталогов на манер cygwin или copperative linux. GUI можно пускать через XMING.
                            0
                            По-моему лучше сделать нормальную абстракцию над платформами, чтобы можно было портировать куда надо. Типа как Quake 3. Разрабы OpenSSL видно про layered architecture не слышали.
                            +5
                            Вообще прикольный у них офис

                            Прям как в видеоиграх
                            image

                            image

                            image
                              0
                              Угу, вдохновлялись фильмами и играми при создании дизайна этого помещения.
                                +1
                                Мне всегда казалось наоборот: создатели игр отражали те интерьеры, что видели в жизни.
                            +24
                            Удалена поддержка Windows, поскольку всё это мало кому нужно.

                            LOL
                              +1
                              Ну вообще в Windows должна быть своя SSL библиотека.
                                +2
                                Openvpn под windows использует openssl.
                                  +1
                                  Много чего портированного использует OpenSSL под Windows. Скрипт-языки (ruby, php и т.п.), программы, фреймворки. Так что они как-то погорячились. Хотя у винды есть собственная реализация.
                              +17
                              Сначала я прочитал как:
                              LibreSSL: очищенная версия от разработчиков OpenBSD
                                +4
                                Очищенная от разработчиков версия OpenSSL…
                                +2
                                Стоит добавить, что статья «OpenSSL писали обезьяны» была написана еще аж в 2009 году.
                                  0
                                  И все как обычно, делается через авось и всеобщий пофигизм.
                                  На этом проекте чуть ли не вся безопасность в интернете держится.
                                  Статья была написана аж в 2009 году… но пока гром не грянет, мужик не перекрестится.
                                  Что стоило компаниям типа гугла, взять под свое крылышко такую серьезную библиотеку?
                                    +2
                                    Есть мнение, что другая крупная компания (под крылом Конгресса США) взяла всю криптографию и телефонию под крылышко…
                                    Так что никто не поможет, кроме нас самих. Осталось узнать, где эти нассамихи живут. :-Q
                                  0
                                  А я прочитал, что версия была очищена от разработчиков :-)
                                    +4
                                    Ну все правильно: нет разработчиков -> нет кода -> нет уязвимостей :)
                                      +1
                                      что версия была очищена от разработчиков


                                        0
                                        Убить всех человеков (с)
                                      +1
                                      Самая больная тема для рунета: а поддержку ГОСТовых алгоритмов они, надеюсь, не выпилили?
                                      • UFO just landed and posted this here
                                          0
                                          а почему нельзя было почистить OpenSSH? тем паче, что в чистке принимает участие и его основатель…
                                            0
                                            Довольно странная инициатива Тео де Раадт, нет чтобы собрать деньги и провести аудит кода, дак лучше выпилить кучу платформ, а на качество кода забить и при этом протрубить, что теперь все ОКей, код прост и легок, но по сути от этого он не стал более грамотен и нет гарантии что там не осталось нелепых багов и дыр.
                                              +3
                                              Выпиливание поддержки разных ОС всё-таки не цель, а промежуточный этап:
                                              Multi OS support will happen once we have
                                              — Flensed, refactored, rewritten, and fixed enough of the code so we have stable baseline that we trust and can be maintained/improved.
                                              — The right Portability team in place.
                                              — A Stable Commitment of Funding to support an increased development and porting effort.
                                                +3
                                                и Windows, поскольку всё это мало кому нужно

                                                «Всё правильно сделал»
                                                  0
                                                  Интересно, а OCF они уже окончательно «очистили»? Или надеются что все забыли… Считаю, что данной статье не хватает ссылок на скандал 2010 года с крипто-фреймворком самой OpenBSD.
                                                    +1
                                                    Удалена поддержка MacOS, Netware, OS/2, VMS и Windows, поскольку всё это мало кому нужно.

                                                    <...>а 98% не нужна поддержка Windows.

                                                    И правда, кому все это может быть нужно?
                                                      +1
                                                      И правда, кому все это может быть нужно?


                                                      Скорее всего нужно и вырезать это не следовало.
                                                      Вот к примеру захочу я написать кросс-платформенное приложение для шифрования с использованием LibreSSL, а вот дудки, библиотеку можно будет собрать только вод Linux, т.к. MacOS и Windows в ней будет успешно выпилено. И что тогда делать? Тео де Раадт рубанул с плеча не подумав о сообществе.
                                                        +1
                                                        Что делать? Использовать OpenSSL

                                                    Only users with full accounts can post comments. Log in, please.