LibreSSL

LibreSSLOpenSSL加密軟體庫的一個分支,為一個安全套接層(SSL)和傳輸層安全(TLS)協定的開源實現。在OpenSSL爆出心臟出血安全漏洞之後,一些OpenBSD開發者於2014年4月創立了LibreSSL,目標是重構OpenSSL的代碼,以提供一個更安全的替代品。LibreSSL復刻自OpenSSL庫的1.0.1g分支,它將遵循其他OpenBSD項目所使用的安全指導原則。

基本介紹

歷史,變化詳情,記憶體相關,加密算法,其他改動,OpenSSL,

歷史

在OpenSSL爆出心臟出血漏洞後的一周之內,OpenBSD開發團隊便決定自行維護一個OpenSSL分支。開發團隊於2014年4月11日註冊libressl.org域名,該項目於2014年4月22日公布。
OpenBSD開發團隊隨即開始清理OpenSSL的代碼,在第一周,LibreSSL開發團隊刪去了9000多行的代碼。一些陳舊或無用代碼被移除,同時對一些比較罕見的作業系統的支持也被移除。LibreSSL最初的目標平台是OpenBSD 5.6,但當代碼穩定之後,還移植至其他平台。截至2014年4月,該項目仍在尋求“穩定的”外部資金支持。

變化詳情

記憶體相關

一些較顯著和重要的變化包括更換自定義的記憶體訪問調用為標準函式(例如strlcpy、calloc、asprintf、reallocarray等)。這有助於在將來用更先進的記憶體調試器,或通過觀察程式的崩潰情況來發現快取溢出等錯誤。CVS提交日誌中也記錄了對潛在雙重釋放記憶體的修復(包括空指針值的顯式分配)。

加密算法

原本不安全的種子生成方法(由核心原生提供)被移除,以確保隨機數種子是通過安全的隨機數生成器產生的。又新加入了一系列算法,包括ChaCha20、Poly1305等。

其他改動

加入了的完整性檢查,以檢查長度參數、無符號到有符號變數的賦值、指針值/方法返回值等數據的有效性。啟用了一些使之更加安全的編譯器選項和標誌(-Wuninitialized,-Werror等),這有助於發現潛在問題。為遵循良好的編程風格,項目也提高了代碼可讀性並清理空白字元,使之匹配BSD的代碼風格(KNF)。移除了不必要或不安全的宏和變數;移除了未使用的或舊的程式集、應用程式、演示及文檔檔案/代碼(Perl腳本、C語言檔案等)。移除了對FIPS 140-2支持、不安全的算法Dual_EC_DRBG及舊的協定/加密器(SSLv2)。

OpenSSL

計算機網路上,OpenSSL是一個開放原始碼軟體包,應用程式可以使用這個包來進行安全通信,避免竊聽,同時確認另一端連線者的身份。這個包廣泛被套用在網際網路的網頁伺服器上。
其主要是以C語言所寫成,實現了基本的加密功能,實現了SSL與TLS協定。OpenSSL可以運行在OpenVMSMicrosoft Windows以及絕大多數類Unix作業系統上(包括SolarisLinuxMac OS X與各種版本的開放原始碼BSD作業系統)。它也提供了一個移植版本,可以在IBM i(OS/400)上運作。
雖然此軟體是開放原始碼的,但其許可書條款與GPL有衝突之處,故GPL軟體使用OpenSSL時(如Wget)必須對OpenSSL給予例外。

相關詞條

熱門詞條

聯絡我們