close

OpenSSL

Gå til navigasjon Gå til søk
OpenSSL
OpenSSL-programlogo
Skjermbilde av OpenSSL-programmet
Type av funksjonsbibliotek , krypteringsprogramvare og verktøy
Skrevet i C [4] , assembly language og Perl
Operativsystem GNU/Linux [5] , GNU/Hurd [5] , BSD [5] , macOS [5] og Microsoft Windows [5]
Første utgave 1998
siste versjon
Lesbare filformater OpenSSL saltet format [d]
Genererte filformater OpenSSL saltet format [d]
Tillatelse Apache License 2.0 [6]
Nettsted openssl.org _ 
 Mediefiler på Wikimedia Commons

OpenSSL  er et komplett kryptografisk bibliotek med åpen kildekode , viden kjent for SSL / TLS -utvidelsen som brukes i HTTPS - nettprotokollen .

Støtter nesten alle lavnivå- hash- , kryptering- og elektroniske signaturalgoritmer , og implementerer også de fleste populære kryptografiske standarder, inkludert: lar deg lage RSA , DH , DSA -nøkler , X.509-sertifikater , signere dem, generere CSR og CRT, kryptere data og test SSL/TLS-tilkoblinger.

Tilgjengelig som pakker for de fleste UNIX -lignende operativsystemer (inkludert Solaris / OpenSolaris , Linux , macOS , QNX4 [7] , QNX6 og fire open source BSD -operativsystemer), så vel som for OpenVMS og Microsoft Windows .

OpenSSL er basert på SSLeay , skrevet av Eric A. Young og Tim Hudson, som uoffisielt avsluttet arbeidet med det i desember 1998 da de begynte å jobbe med RSA Security-prosjektet.

Store utgivelser

OpenSSL utgivelseshistorikk [8] [9]
Versjon utgivelsesdato Kommentar
0.9.1c 23. desember 1998
0.9.2c 22. mars 1999
  • Etterfølger 0.9.1c
0.9.3 25. mai 1999
  • Etterfølger 0.9.2b
0.9.4 9. august 1999
  • Etterfølger 0.9.3a
0.9.5 28. februar 2000
  • Etterfølger 0.9.4
0.9.6 25. september 2000
  • Etterfølger 0.9.5a
0.9.7 31. desember 2002
  • Etterfølger 0.9.6t
0.9.8 5. juli 2005
  • Etterfølger til 0.9.8za (5. juni 2014)
1.0.0 29. mars 2010
  • Etterfølger 0.9.8x
1.0.1 14. mars 2012
  • Etterfølger 1.0.0e
  • Støtter TLS v1.2
  • SRP- støtte
1.0.1k 8. januar 2015 CVE-2014-3572, CVE-2015-0204, CVE-2015-0205
1.0.2 22. januar 2015
1.1.0 25. august 2016
1,1,0 g 2. november 2017
1.1.1 11. september 2018
  • Over 5000 endringer
  • TLS v1.3-støtte [12]
1.1.1a 20. november 2018
1.1.1b 26. februar 2019
  • Feilretting
1.1.1c 28. mai 2019
  • Feilretting

Algoritmer

Blowfish , Camellia , DES , RC2 , RC4 , RC5 , IDEA , AES , GOST 28147-89 [14]
Hash-funksjoner
MD5 , MD2 , SHA , MDC-2 , GOST R 34.11-94 [14]
Asymmetrisk
RSA , DSA , Diffie-Hellman nøkkelutveksling , GOST R 34.10-2001 ( 34.10-94 ) [14]

Støtte for GOST-algoritmer dukket opp i versjon 1.0.0, utgitt 29. mars 2010, og ble implementert av Cryptocom-ansatte [15] .

Nyttige openssl-kommandoer

  • Opprette en nøkkel for et SSL-sertifikat. Hvis -des3 ikke er spesifisert, vil det være uten passord:
# openssl genrsa -des3 -out example.com.key 2048

Hvis du mister passordet eller nøkkelfilen, må du gjenskape sertifikatet.

  • Generer en CSR-forespørsel:
# openssl req -new -key example.com.key -out example.com.csr

Navnet på domenet som forespørselen opprettes for skrives i Common Name - example.com, Et utfordringspassord og Et valgfritt firmanavn trenger ikke oppgis (bare trykk enter).

  • Fjern passordet fra nøkkelen (det er nødvendig når sertifikatet settes i Apache -konfigurasjonen , ellers vil det be om et passord ved oppstart):
# openssl rsa -in example.com.key -out example.com-nopass.key -passin stdin

og skriv inn passordet fra konsollen (eller -passin pass: supersecretpassword som anses som mindre sikkert)

  • Les innholdet i CSR-filen i et mer lesbart tekstformat:
# openssl req -noout -text -in example.com.csr

Identifiserte sårbarheter

Sårbarhet i implementeringen av Debian-distribusjonen

I Debian versjon 0.9.8c-1 ble en oppdatering brukt på OpenSSL som bevisst brøt tilfeldig tallgeneratoren. Denne versjonen av OpenSSL ble inkludert i Debian-utgivelsen 17. september 2006. Alle nøkler generert gjennom denne versjonen av generatoren og alle data kryptert med slike nøkler kan betraktes som kompromittert. Problemet er løst i versjon 0.9.8c-4etch3 av Debian 4.0-distribusjonen; i versjon 0.9.8g-9 av Debian 5.0-distribusjonen.

Heartbleed bug

7. april 2014 ble en kritisk sårbarhet kunngjort i OpenSSL 1.0.2-beta og alle versjoner av OpenSSL 1.0.1 bortsett fra 1.0.1g. Sårbarheten er relatert til TLS Heartbeat-utvidelsen og lar deg lese opptil 64 KB applikasjons-RAM med hver hjerteslagforespørsel.[18] I CVE-listen er den oppført under nummeret CVE-2014-0160.

Sårbarheten har eksistert siden 31. desember 2011; den sårbare koden ble distribuert med utgivelsen av OpenSSL 1.0.1 14. mars 2012. Ved å lese RAM-en til en webserver kan en angriper få tilgang til konfidensiell informasjon om både serveren og brukerne, slik at de kan avskjære private nøkler, informasjonskapsler og passord. På tidspunktet for kunngjøringen ble omtrent 17 % av de halve millionen sikre webserverne antatt å være sårbare.

Forks

LibreSSL

Etter oppdagelsen av Heartbleed-sårbarheten kunngjorde utviklerne av OpenBSD -prosjektet opprettelsen av en gaffel av OpenSSL basert på 1.0.1g-grenen kalt LibreSSL [16] . Utviklernes vekt er å fikse feil, fjerne unødvendig funksjonalitet, øke sikkerheten og forbedre kodelesbarheten.

BoringSSL

I juli 2014 annonserte Google sin egen fork av OpenSSL kalt BoringSSL [17] . Google har til hensikt å samarbeide og dele patcher med OpenSSL- og LibreSSL- utviklere .

Merknader

  1. Versjon 3.0.7 - 2022.
  2. OpenSSL versjon 3.0.7 publisert - 2022.
  3. OpenSSL versjon 1.1.1s publisert - 2022.
  4. Openssl Open Source-prosjektet på Open Hub: Languages-siden - 2006.
  5. 1 2 3 4 5 Gratis programvarekatalog
  6. Endre lisens til Apache License v2.0 openssl/openssl@1513331 GitHub
  7. OpenSSL for QNX4 (nedlink) . SVD innebygde systemer. Arkivert fra originalen 10. februar 2012. 
  8. OpenSSL - Project Newsflash (nedlink) . OpenSSL Software Foundation. Dato for tilgang: 25. november 2012. Arkivert fra originalen 26. februar 2013. 
  9. r. r . Hentet 14. november 2019. Arkivert fra originalen 29. september 2019.
  10. OpenSSL 1.x endringslogg (nedlink) . OpenSSL Software Foundation. Dato for tilgang: 25. november 2012. Arkivert fra originalen 26. februar 2013. 
  11. OpenSSL 1.0.2 Endringslogg . Åpent nett. Dato for tilgang: 26. januar 2012. Arkivert fra originalen 19. mars 2015.
  12. OpenSSL Foundation, Inc. OpenSSL 1.1.1 er utgitt - OpenSSL  Blog . www.openssl.org. Hentet 12. september 2018. Arkivert fra originalen 15. september 2018.
  13. Endringer mellom 1.1.1 og 1.1.1a . Hentet 8. januar 2019. Arkivert fra originalen 13. september 2016.
  14. 1 2 3 GOST-motor for OpenSSL 1.0
  15. GOST-støtte i utviklingsversjon av OpenSSL 1.0.0 Arkivert 11. februar 2011. på nettstedet til selskapet "Cryptocom".
  16. OpenBSD-prosjektet introduserte LibreSSL, en gaffel av OpenSSL . Åpent nett. Hentet 26. november 2015. Arkivert fra originalen 20. november 2015.
  17. Google introduserte BoringSSL, en gaffel av OpenSSL . Åpent nett. Hentet 26. november 2015. Arkivert fra originalen 8. desember 2015.

Lenker