Тип | програмна бібліотека |
---|---|
Розробники | The OpenSSL Project |
Стабільний випуск | 1.1 (25 серпня 2016 ) |
Операційна система | багато-платформова |
Мова програмування | C |
Ліцензія | Apache License 1.0 та 4 твердження BSD License |
Онлайн-документація | openssl.org/docs/manpages.html |
Репозиторій | github.com/openssl/openssl |
Вебсайт | www.openssl.org |
|
OpenSSL — відкритий програмний продукт, розроблений як універсальна бібліотека для криптографії, що використовує протоколи Secure Sockets Layer і Transport Layer Security. Використовується, зокрема, в бібліотеці cUrl для реалізації роботи за протоколом https. Доступна для більшості UNIX-подібних операційних систем (включаючи Solaris/OpenSolaris, Linux, Mac OS X, QNX4, QNX6 і чотирьох операційних систем BSD з відкритим початковим кодом), а також для OpenVMS і Microsoft Windows.
Історія
OpenSSL заснований на SSLeay, написаної Еріком Янгом (Eric A. Young) і Тімом Гадсоном (Tim Hudson), які неофіційно закінчили працювати над ним в грудні 1998 року, коли вони почали працювати в проєкті RSA Security.
Влітку 2012 проєкт OpenSSL отримав для версії бібліотеки 1.0 сертифікат відповідності стандарту безпеки FIPS 140-2, що визначає вимоги до криптографічних модулів, необхідні для їхнього використання в державних установах США. Сертифікат виданий Американським інститутом стандартів і технологій (NIST) після проведення відповідного аудиту коду проєкту. Виданий сертифікат примітний тим, що він виданий на початковий код продукту, а не конкретну бінарну збірку, що розширює область використання OpenSSL в державних проєктах.
В січні 2018 року проєкт отримав нагороду Макса Левчіна (англ. The Levchin Prize) за істотне покращення якості початкового коду бібліотеки.
Дати виходу основних релізів
Версії, що більше не підтримуються
- OpenSSL 0.9.1c став доступним 23 грудня 1998.
- OpenSSL 0.9.2b став доступним 22 квітня 1999.
- OpenSSL 0.9.3 став доступним 25 травня 1999.
- OpenSSL 0.9.4 став доступним 9 вересня 1999.
- OpenSSL 0.9.5 став доступним 28 лютого 2000.
- OpenSSL 0.9.6 став доступним 25 вересня 2000.
- OpenSSL 0.9.7 став доступним 31 грудня 2002.
- OpenSSL 0.9.8 став доступним 5 липня 2005.
- OpenSSL 1.0.0 став доступним 29 березня 2010.
- OpenSSL 1.0.1 став доступним 14 березня 2012.
Поточні версії
- OpenSSL 1.0.2 став доступним 22 січня 2015.
- OpenSSL 1.1.0 став доступним 25 серпня 2016.
- OpenSSL 1.1.1 має прев'ю релізи, опубліковані 29 травня та 19 червня 2018.
Алгоритми
Реалізує наступні алгоритми шифрування:
- Шифри
- AES, Blowfish, , , CAST-128, DES, , , RC4, RC5, Triple DES, GOST 28147-89
- Криптографічні хеш-функції
- MD5, MD2, SHA-1, SHA-2, RIPEMD-160, , GOST R 34.11-94
- Асиметричні алгоритми шифрування
- RSA, DSA, Протокол Діффі-Геллмана, Еліптична криптографія, GOST R 34.10-2001
Інциденти
Heartbbleed
У квітні 2014 дослідниками компаній Google і в OpenSSL була виявлена одна з найсерйозніших вразливостей (CVE-2014-0160) в історії проєкту, яка зачіпає величезне число сайтів, серверних систем і клієнтських застосунків, що застосовують OpenSSL 1.0.1 для організації обміну даними через захищене з'єднання. Суть проблеми проявляється в можливості доступу до 64Кб пам'яті клієнтського або серверного процесу, з яким встановлено шифроване з'єднання.
Практична небезпека вразливості пов'язана з тим, що у схильній до витоку області пам'яті можуть розміщуватися закриті ключі або паролі доступу, які потенційно можуть бути отримані віддаленим зловмисником. У разі особливої атаки зловмисник може отримати вміст серверного ключа, що застосовується для організації шифрованого доступу до сервера, і потім організувати перехоплення захищеного трафіку (на транзитному вузлі). Також не виключений витік паролів, ідентифікаторів сесій і інших закритих даних клієнтських застосунків при спробі їх з'єднання з підконтрольними зловмисникам серверними системами.
Причиною проблеми є відсутність перевірки виходу за допустимі межі в коді реалізації TLS-розширення heartbeat (RFC 6520), що дозволяє віддаленій стороні ініціювати відправлення до 64Кб даних з області за межею поточного буфера. За деякими оцінками проблема охоплювала до половини серверних систем, які підтримували захищене з'єднання в Мережі, включаючи зібрані з OpenSSL 1.0.1 вебсервери (Apache httpd, nginx), поштові сервери, XMPP-сервери, VPN-системи, шлюзи і приховані сервіси анонімної мережі Tor. Пов'язана з атакою активність не фіксується в серверних логах, що утруднює виявлення фактів експлуатації уразливості.
На думку Брюса Шнаєра, відомого експерта в області комп'ютерної безпеки, Heartbeat-уразливість в OpenSSL слід зарахувати до категорії катастрофічних вразливостей, рівень небезпеки якої становить 11 балів, якщо розглядати існуючу 10-бальну шкалу ступенів небезпеки з урахуванням того, що OpenSSL є найпоширенішою криптографічного бібліотекою в Мережі.
Завдяки широкому висвітленню проблеми за два дні з моменту її оприлюднення близько 1/3 всіх серверів встигли застосували оновлення з усуненням уразливості. Проте, за попередніми даними в Мережі ще залишалися уразливими близько 600 тисяч серверів. Але проблема далека від свого вирішення — незрозуміло, що робити з вбудованими та мобільними продуктами, схильними до вразливості, але такі що не передбачають можливість автоматичного оновлення прошивки.
В умовах можливості непомітного проведення атаки, без залишення слідів в балці, також чекає тривалий процес зміни SSL-сертифікатів, ключів шифрування і звичайних паролів, відсутність витоку яких неможливо гарантувати. Потенційно будь-який пароль і сертифікат міг потрапити в руки зловмисників, і незрозуміло, коли й де подібні витоки можуть проявитися.
Примітки
- OpenSSL для QNX4 (російською) . СВД Встраиваемые Системы. Архів оригіналу за 10 лютого 2012.
- . Архів оригіналу за 2 липня 2012. Процитовано 3 липня 2012.
- . Архів оригіналу за 6 липня 2012. Процитовано 3 липня 2012.
- MATT CASWELL (10 січня 2018). . OpenSSL Blog. Архів оригіналу за 12 січня 2018. Процитовано 12 січня 2018.
- . Архів оригіналу за 12 червня 2018. Процитовано 3 липня 2012.
- . Архів оригіналу за 13 вересня 2016. Процитовано 6 липня 2018.
- . Архів оригіналу за 8 квітня 2014. Процитовано 23 квітня 2014.
- В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей [ 15 квітня 2014 у Wayback Machine.] // opennet.ru 08.04.2014
- . Архів оригіналу за 23 грудня 2017. Процитовано 23 квітня 2014.
- . Архів оригіналу за 12 квітня 2014. Процитовано 23 квітня 2014.
Посилання
- офіційний сайт проєкту [ 24 квітня 2015 у Wayback Machine.]
Це незавершена стаття з криптографії. Ви можете проєкту, виправивши або дописавши її. |
Це незавершена стаття з інформаційної безпеки. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
frequently updated OpenSSLTipprogramna bibliotekaRozrobnikiThe OpenSSL ProjectStabilnij vipusk1 1 25 serpnya 2016 7 rokiv tomu 2016 08 25 Operacijna sistemabagato platformovaMova programuvannyaCLicenziyaApache License 1 0 ta 4 tverdzhennya BSD LicenseOnlajn dokumentaciyaopenssl org docs manpages htmlRepozitorijgithub com openssl opensslVebsajtwww openssl org Mediafajli u Vikishovishi OpenSSL vidkritij programnij produkt rozroblenij yak universalna biblioteka dlya kriptografiyi sho vikoristovuye protokoli Secure Sockets Layer i Transport Layer Security Vikoristovuyetsya zokrema v biblioteci cUrl dlya realizaciyi roboti za protokolom https Dostupna dlya bilshosti UNIX podibnih operacijnih sistem vklyuchayuchi Solaris OpenSolaris Linux Mac OS X QNX4 QNX6 i chotiroh operacijnih sistem BSD z vidkritim pochatkovim kodom a takozh dlya OpenVMS i Microsoft Windows IstoriyaOpenSSL zasnovanij na SSLeay napisanoyi Erikom Yangom Eric A Young i Timom Gadsonom Tim Hudson yaki neoficijno zakinchili pracyuvati nad nim v grudni 1998 roku koli voni pochali pracyuvati v proyekti RSA Security Vlitku 2012 proyekt OpenSSL otrimav dlya versiyi biblioteki 1 0 sertifikat vidpovidnosti standartu bezpeki FIPS 140 2 sho viznachaye vimogi do kriptografichnih moduliv neobhidni dlya yihnogo vikoristannya v derzhavnih ustanovah SShA Sertifikat vidanij Amerikanskim institutom standartiv i tehnologij NIST pislya provedennya vidpovidnogo auditu kodu proyektu Vidanij sertifikat primitnij tim sho vin vidanij na pochatkovij kod produktu a ne konkretnu binarnu zbirku sho rozshiryuye oblast vikoristannya OpenSSL v derzhavnih proyektah V sichni 2018 roku proyekt otrimav nagorodu Maksa Levchina angl The Levchin Prize za istotne pokrashennya yakosti pochatkovogo kodu biblioteki Dati vihodu osnovnih relizivVersiyi sho bilshe ne pidtrimuyutsya OpenSSL 0 9 1c stav dostupnim 23 grudnya 1998 OpenSSL 0 9 2b stav dostupnim 22 kvitnya 1999 OpenSSL 0 9 3 stav dostupnim 25 travnya 1999 OpenSSL 0 9 4 stav dostupnim 9 veresnya 1999 OpenSSL 0 9 5 stav dostupnim 28 lyutogo 2000 OpenSSL 0 9 6 stav dostupnim 25 veresnya 2000 OpenSSL 0 9 7 stav dostupnim 31 grudnya 2002 OpenSSL 0 9 8 stav dostupnim 5 lipnya 2005 OpenSSL 1 0 0 stav dostupnim 29 bereznya 2010 OpenSSL 1 0 1 stav dostupnim 14 bereznya 2012 Potochni versiyi OpenSSL 1 0 2 stav dostupnim 22 sichnya 2015 OpenSSL 1 1 0 stav dostupnim 25 serpnya 2016 OpenSSL 1 1 1 maye prev yu relizi opublikovani 29 travnya ta 19 chervnya 2018 AlgoritmiRealizuye nastupni algoritmi shifruvannya Shifri AES Blowfish CAST 128 DES RC4 RC5 Triple DES GOST 28147 89 Kriptografichni hesh funkciyi MD5 MD2 SHA 1 SHA 2 RIPEMD 160 GOST R 34 11 94 Asimetrichni algoritmi shifruvannya RSA DSA Protokol Diffi Gellmana Eliptichna kriptografiya GOST R 34 10 2001IncidentiHeartbbleed Dokladnishe Heartbleed U kvitni 2014 doslidnikami kompanij Google i v OpenSSL bula viyavlena odna z najserjoznishih vrazlivostej CVE 2014 0160 v istoriyi proyektu yaka zachipaye velichezne chislo sajtiv servernih sistem i kliyentskih zastosunkiv sho zastosovuyut OpenSSL 1 0 1 dlya organizaciyi obminu danimi cherez zahishene z yednannya Sut problemi proyavlyayetsya v mozhlivosti dostupu do 64Kb pam yati kliyentskogo abo servernogo procesu z yakim vstanovleno shifrovane z yednannya Praktichna nebezpeka vrazlivosti pov yazana z tim sho u shilnij do vitoku oblasti pam yati mozhut rozmishuvatisya zakriti klyuchi abo paroli dostupu yaki potencijno mozhut buti otrimani viddalenim zlovmisnikom U razi osoblivoyi ataki zlovmisnik mozhe otrimati vmist servernogo klyucha sho zastosovuyetsya dlya organizaciyi shifrovanogo dostupu do servera i potim organizuvati perehoplennya zahishenogo trafiku na tranzitnomu vuzli Takozh ne viklyuchenij vitik paroliv identifikatoriv sesij i inshih zakritih danih kliyentskih zastosunkiv pri sprobi yih z yednannya z pidkontrolnimi zlovmisnikam servernimi sistemami Prichinoyu problemi ye vidsutnist perevirki vihodu za dopustimi mezhi v kodi realizaciyi TLS rozshirennya heartbeat RFC 6520 sho dozvolyaye viddalenij storoni iniciyuvati vidpravlennya do 64Kb danih z oblasti za mezheyu potochnogo bufera Za deyakimi ocinkami problema ohoplyuvala do polovini servernih sistem yaki pidtrimuvali zahishene z yednannya v Merezhi vklyuchayuchi zibrani z OpenSSL 1 0 1 vebserveri Apache httpd nginx poshtovi serveri XMPP serveri VPN sistemi shlyuzi i prihovani servisi anonimnoyi merezhi Tor Pov yazana z atakoyu aktivnist ne fiksuyetsya v servernih logah sho utrudnyuye viyavlennya faktiv ekspluataciyi urazlivosti Na dumku Bryusa Shnayera vidomogo eksperta v oblasti komp yuternoyi bezpeki Heartbeat urazlivist v OpenSSL slid zarahuvati do kategoriyi katastrofichnih vrazlivostej riven nebezpeki yakoyi stanovit 11 baliv yaksho rozglyadati isnuyuchu 10 balnu shkalu stupeniv nebezpeki z urahuvannyam togo sho OpenSSL ye najposhirenishoyu kriptografichnogo bibliotekoyu v Merezhi Zavdyaki shirokomu visvitlennyu problemi za dva dni z momentu yiyi oprilyudnennya blizko 1 3 vsih serveriv vstigli zastosuvali onovlennya z usunennyam urazlivosti Prote za poperednimi danimi v Merezhi she zalishalisya urazlivimi blizko 600 tisyach serveriv Ale problema daleka vid svogo virishennya nezrozumilo sho robiti z vbudovanimi ta mobilnimi produktami shilnimi do vrazlivosti ale taki sho ne peredbachayut mozhlivist avtomatichnogo onovlennya proshivki V umovah mozhlivosti nepomitnogo provedennya ataki bez zalishennya slidiv v balci takozh chekaye trivalij proces zmini SSL sertifikativ klyuchiv shifruvannya i zvichajnih paroliv vidsutnist vitoku yakih nemozhlivo garantuvati Potencijno bud yakij parol i sertifikat mig potrapiti v ruki zlovmisnikiv i nezrozumilo koli j de podibni vitoki mozhut proyavitisya PrimitkiOpenSSL dlya QNX4 rosijskoyu SVD Vstraivaemye Sistemy Arhiv originalu za 10 lyutogo 2012 Arhiv originalu za 2 lipnya 2012 Procitovano 3 lipnya 2012 Arhiv originalu za 6 lipnya 2012 Procitovano 3 lipnya 2012 MATT CASWELL 10 sichnya 2018 OpenSSL Blog Arhiv originalu za 12 sichnya 2018 Procitovano 12 sichnya 2018 Arhiv originalu za 12 chervnya 2018 Procitovano 3 lipnya 2012 Arhiv originalu za 13 veresnya 2016 Procitovano 6 lipnya 2018 Arhiv originalu za 8 kvitnya 2014 Procitovano 23 kvitnya 2014 V OpenSSL obnaruzhena kriticheskaya uyazvimost kotoraya mozhet privesti k utechke zakrytyh klyuchej 15 kvitnya 2014 u Wayback Machine opennet ru 08 04 2014 Arhiv originalu za 23 grudnya 2017 Procitovano 23 kvitnya 2014 Arhiv originalu za 12 kvitnya 2014 Procitovano 23 kvitnya 2014 Posilannyaoficijnij sajt proyektu 24 kvitnya 2015 u Wayback Machine Ce nezavershena stattya z kriptografiyi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi Ce nezavershena stattya z informacijnoyi bezpeki Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi