OpenSSL

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 24. juni 2015; checks kræver 34 redigeringer .

OpenSSL
Type	funktionsbibliotek , krypteringssoftware og hjælpeprogram
Skrevet i	C [4] , samlesprog og Perl
Operativ system	GNU/Linux [5] , GNU/Hurd [5] , BSD [5] , macOS [5] og Microsoft Windows [5]
Første udgave	1998
nyeste version	3.0.7 ( 1. november 2022 ) [1] [2] 1.1.1s ( 1. november 2022 ) [3]
Læsbare filformater	OpenSSL saltet format [d]
Genererede filformater	OpenSSL saltet format [d]
Licens	Apache-licens 2.0 [6]
Internet side	openssl.org _
Mediefiler på Wikimedia Commons

OpenSSL  er et komplet open source kryptografisk bibliotek , kendt for SSL / TLS -udvidelsen , der bruges i HTTPS - webprotokollen .

Understøtter næsten alle lavniveau hashing , kryptering og elektroniske signaturalgoritmer og implementerer også de mest populære kryptografiske standarder, herunder: giver dig mulighed for at oprette RSA , DH , DSA nøgler , X.509 certifikater , signere dem, generere CSR og CRT, kryptere data og test SSL/TLS-forbindelser.

Tilgængelig som pakker til de fleste UNIX -lignende operativsystemer (inklusive Solaris / OpenSolaris , Linux , macOS , QNX4 [7] , QNX6 og fire open source BSD -operativsystemer) samt til OpenVMS og Microsoft Windows .

OpenSSL er baseret på SSLeay , skrevet af Eric A. Young og Tim Hudson, som uofficielt afsluttede arbejdet med det i december 1998, da de begyndte at arbejde på RSA Security-projektet.

Større udgivelser

OpenSSL-udgivelseshistorik [8] [9]

Version	udgivelsesdato	Kommentar
0.9.1c	23. december 1998
0.9.2c	22. marts 1999	Efterfølger 0.9.1c
0.9.3	25. maj 1999	Efterfølger 0.9.2b
0.9.4	9. august 1999	Efterfølger 0.9.3a
0.9.5	28. februar 2000	Efterfølger 0.9.4
0.9.6	25. september 2000	Efterfølger 0.9.5a
0.9.7	31. december 2002	Efterfølger 0.9.6h
0.9.8	5. juli 2005	Efterfølger til 0.9.8za (5. juni 2014)
1.0.0	29. marts 2010	Efterfølger 0.9.8x
1.0.1	14. marts 2012	Efterfølger 1.0.0e Understøtter TLS v1.2 SRP support
1.0.1k	8. januar 2015	CVE-2014-3572, CVE-2015-0204, CVE-2015-0205
1.0.2	22. januar 2015	Nuværende udgivelse [10] [11] DTLS 1.2 understøttelse
1.1.0	25. august 2016
1,1,0 g	2. november 2017
1.1.1	11. september 2018	Over 5000 ændringer TLS v1.3-understøttelse [12]
1.1.1a	20. november 2018	Fejlrettelser [13]
1.1.1b	26. februar 2019	Fejlretning
1.1.1c	28. maj 2019	Fejlretning

Algoritmer

Blowfish , Camellia , DES , RC2 , RC4 , RC5 , IDEA , AES , GOST 28147-89 [14] Hash funktioner MD5 , MD2 , SHA , MDC-2 , GOST R 34.11-94 [14] Asymmetrisk RSA , DSA , Diffie-Hellman nøgleudveksling , GOST R 34.10-2001 ( 34.10-94 ) [14]

Understøttelse af GOST-algoritmer dukkede op i version 1.0.0, udgivet den 29. marts 2010, og blev implementeret af Cryptocom-medarbejdere [15] .

Nyttige openssl-kommandoer

• Oprettelse af en nøgle til et SSL-certifikat. Hvis -des3 ikke er angivet, vil den være uden adgangskode:

# openssl genrsa -des3 -out example.com.key 2048

Hvis du mister din adgangskode eller nøglefil, skal du genskabe certifikatet.

• Generering af en CSR-anmodning:

# openssl req -new -key example.com.key -out example.com.csr

Navnet på det domæne, som forespørgslen oprettes for, er skrevet i Common Name - example.com, En udfordringsadgangskode og Et valgfrit firmanavn skal ikke indtastes (bare tryk på enter).

• Fjern adgangskoden fra nøglen (det er nødvendigt, når certifikatet sættes i Apache -konfigurationen , ellers vil det bede om en adgangskode ved opstart):

# openssl rsa -in example.com.key -out example.com-nopass.key -passin stdin

og indtast adgangskoden fra konsollen (eller -passin pass: supersecretpassword, som anses for mindre sikkert)

• Læs indholdet af CSR-filen i et mere læsbart tekstformat:

# openssl req -noout -text -in example.com.csr

Identificerede sårbarheder

Sårbarhed i implementeringen af ​​Debian-distributionen

I Debian version 0.9.8c-1 blev der anvendt en patch til OpenSSL, der bevidst brød generatoren af ​​tilfældige tal. Denne version af OpenSSL blev inkluderet i Debian-udgivelsen den 17. september 2006. Alle nøgler genereret gennem denne version af generatoren og alle data krypteret med sådanne nøgler kan betragtes som kompromitteret. Problemet er blevet rettet i version 0.9.8c-4etch3 af Debian 4.0-distributionen; i version 0.9.8g-9 af Debian 5.0-distributionen.

Heartbleed bug

Den 7. april 2014 blev en kritisk sårbarhed annonceret i OpenSSL 1.0.2-beta og alle versioner af OpenSSL 1.0.1 undtagen 1.0.1g. Sårbarheden er relateret til TLS Heartbeat-udvidelsen og tillader læsning af op til 64KB applikations-RAM med hver hjerteslagsanmodning.[18] I CVE-listen er den opført under nummeret CVE-2014-0160.

Sårbarheden har eksisteret siden 31. december 2011; den sårbare kode blev distribueret med udgivelsen af ​​OpenSSL 1.0.1 den 14. marts 2012. Ved at læse RAM'et på en webserver kan en angriber få adgang til fortrolige oplysninger om både serveren og brugerne, så de kan opsnappe private nøgler, cookies og adgangskoder. På tidspunktet for meddelelsen blev omkring 17 % af de halve millioner sikre webservere anset for at være sårbare.

Forks

LibreSSL

Efter opdagelsen af ​​Heartbleed-sårbarheden annoncerede udviklerne af OpenBSD- projektet oprettelsen af ​​en fork af OpenSSL baseret på 1.0.1g-grenen kaldet LibreSSL [16] . Udviklernes vægt er på at rette fejl, fjerne unødvendig funktionalitet, øge sikkerheden og forbedre kodelæsbarheden.

BoringSSL

I juli 2014 annoncerede Google sin egen fork af OpenSSL kaldet BoringSSL [17] . Google har til hensigt at samarbejde og dele patches med OpenSSL- og LibreSSL- udviklere .

Noter

1. ↑ Udgivelse 3.0.7 - 2022.
2. ↑ OpenSSL version 3.0.7 offentliggjort - 2022.
3. ↑ OpenSSL version 1.1.1s offentliggjort - 2022.
4. ↑ Openssl Open Source-projektet på Open Hub: Languages-side - 2006.
5. ↑ 1 2 3 4 5 Gratis softwarekatalog
6. ↑ Skift licens til Apache License v2.0 openssl/openssl@1513331 GitHub
7. ↑ OpenSSL til QNX4 (downlink) . SVD indlejrede systemer. Arkiveret fra originalen den 10. februar 2012. (Russisk) 
8. ↑ OpenSSL - Project Newsflash (downlink) . OpenSSL Software Foundation. Dato for adgang: 25. november 2012. Arkiveret fra originalen 26. februar 2013. (ubestemt) 
9. ↑ r. r . Hentet 14. november 2019. Arkiveret fra originalen 29. september 2019. (ubestemt)
10. ↑ OpenSSL 1.x Changelog (downlink) . OpenSSL Software Foundation. Dato for adgang: 25. november 2012. Arkiveret fra originalen 26. februar 2013. (ubestemt) 
11. ↑ OpenSSL 1.0.2 Changelog . Åbent net. Dato for adgang: 26. januar 2012. Arkiveret fra originalen 19. marts 2015. (ubestemt)
12. ↑ OpenSSL Foundation, Inc. OpenSSL 1.1.1 er udgivet - OpenSSL  Blog . www.openssl.org. Hentet 12. september 2018. Arkiveret fra originalen 15. september 2018.
13. ↑ Skifter mellem 1.1.1 og 1.1.1a . Hentet 8. januar 2019. Arkiveret fra originalen 13. september 2016. (ubestemt)
14. ↑ 1 2 3 GOST-motor til OpenSSL 1.0
15. ↑ GOST-understøttelse i udviklingsversion af OpenSSL 1.0.0 Arkiveret 11. februar 2011. på hjemmesiden for virksomheden "Cryptocom".
16. ↑ OpenBSD-projektet introducerede LibreSSL, en forgrening af OpenSSL . Åbent net. Hentet 26. november 2015. Arkiveret fra originalen 20. november 2015. (ubestemt)
17. ↑ Google introducerede BoringSSL, en forgrening af OpenSSL . Åbent net. Hentet 26. november 2015. Arkiveret fra originalen 8. december 2015. (ubestemt)

Links

• OpenSSL.org Arkiveret 14. april 2014 på Wayback Machine
• Win32-version af OpenSSL Arkiveret 23. september 2016 på Wayback Machine , slproweb.com
• Win64-version af OpenSSL Arkiveret 23. september 2016 på Wayback Machine , slproweb.com
• IA64, Alpha, VAX version af OpenSSL til OpenVMS Arkiveret 12. marts 2014 på Wayback Machine , polarhome.com
• artiklen "Using OpenSSL" Arkiveret 19. januar 2009 på Wayback Machine , opennet.ru
• Russisk oversættelse af nogle OpenSSL-kommandoer , omsk.lug.ru
• OpenSSL på Xgu.ru Arkiveret 13. oktober 2010 på Wayback Machine  - russisk oversættelse af OpenSSL Command Line HOWTO