GnuTLS

GnuTLS jest open source i całkowicie za darmo projektem, który ma na celu opracowanie Transport Layer Security (TLS) bibliotekę dla systemu operacyjnego GNU / Linux. Zapewnia bezpieczną warstwę ponad wiarygodnego warstwie transportowej, wprowadzania standardów proponowanych przez grupę roboczą IETF TLS.

Projekt oferuje wsparcie dla wielu protokołów bezpieczeństwa, w tym wsparcie dla Transport Layer Security (TLS 1.2, TLS 1.1, TLS 1.0), wsparcie dla Secure Sockets Layer (SSL 3.0), a także wsparcie dla protokołu Datagram TLS.

Ponadto, oprogramowanie GnuTLS zapewnia wsparcie dla uwierzytelniania przy użyciu zarówno certyfikaty X.509 i OpenPGP, jak również wsparcie dla kluczowych i haseł metod uwierzytelniania, takich jak PSK (Phase Shift Keying) i SRP (Secure Remote Password) protokoły .

Ponadto, w uzupełnieniu do DSA i RSA, projekt wspiera krzywe eliptyczne, zapewnia OCSP (Online Certificate Status Protocol) wsparcie, CPU-assisted wsparcie kryptografii z AES-NI i VIA zestawów instrukcji kłódki, wsparcie dla szyfrowania kierowców akceleratora poprzez / dev / krypto.

Ponadto, GnuTLS zapewnia natywne wsparcie dla tokenów kryptograficznych, takich jak smart-karty, poprzez PKCS # 11, oferuje natywne wsparcie dla Trusted Platform Module (TPM), a także wsparcie dla wszystkich silnych algorytmów szyfrowania, w tym Camellia i AES.

GnuTLS został z powodzeniem przetestowany na wielu systemach operacyjnych Linux Kernel-based. Fakt sprawy jest to, że & rsquo; s. Kompatybilny ze wszystkimi systemami operacyjnymi GNU / Linux i działa na komputerach wspierających jeden z 32 lub 64-bitowych architektur zestaw instrukcji

Oprogramowanie jest dostępne na wszystkich głównych dystrybucjach GNU / Linux, instalowanego z ich oficjalnych repozytoriów oprogramowania. Najnowsze wydanie GnuTLS zawsze można pobrać z Softoware lub za pośrednictwem swojej oficjalnej stronie internetowej (patrz link stronę poniżej), jako pakiet źródłowy powszechnej.

Co nowego w tym wydaniu:

• libgnutls: Śledź ściśle RFC5280 zalecenia i używać UTCTime dla dat przed 2050
.
• libgnutls. Siła 16-bajtowy dostosowanie do wszystkich wejście do szyfrów (wcześniej zrobił to tylko wtedy, gdy cryptodev była włączona)
• libgnutls:. Usunięto wsparcie dla pthread_atfork () jak to niezdefiniowana semantykę, gdy używana z dlopen (), i może prowadzić do wypadku
• libgnutls. skorygowany awarii podczas importowania zwykłych plików z gnutls_x509_privkey_import2 (), a hasło zostało dostarczone
• libgnutls:. Nie należy odrzucać certyfikatów czy Kalifornia ma ograniczeń Nazwa Adres URI lub IP oraz certyfikat końcowy nie ma nazwę adresu IP lub zbiór URI
• libgnutls. ustawić i odczytać aluzję w DHE-PSK i ECDHE-PSK ciphersuites
• p11tool:. Dodano --list-Opcja tokenu adresy URL-i wydrukować symboliczną nazwę tego modułu lista-tokenów
• API i ABI modyfikacje:
• gnutls_ecc_curve_get_oid: Dodany
• gnutls_digest_get_oid: Dodany
• gnutls_pk_get_oid: Dodany
• gnutls_sign_get_oid: Dodany
• gnutls_ecc_curve_get_id: Dodany
• gnutls_oid_to_digest: Dodany
• gnutls_oid_to_pk: Dodany
• gnutls_oid_to_sign: Dodany
• gnutls_oid_to_ecc_curve: Dodany
• gnutls_pkcs7_get_signature_count: Dodany

Co nowego w wersji 3.4.1:

• libgnutls: Sprawdź nieprawidłowej długości w X. 509 wersja pola. Bez certyfikatów kontrolnych z nieprawidłowej długości będzie wykrywany jako posiadające dowolną wersję. Przekazane przez Hanno Bock.
• libgnutls: Stosować ograniczenia nazw DNS z kropką. Łata autorstwa Fotis Loukos.
• libgnutls: Aktualizacja systemu klucze Support dla systemu Windows do kompilacji w kilku wersjach MinGW. Łata autorstwa Tim Kosse.
• libgnutls: Fix do MD5 downgrade w TLS 1.2 podpisów. Przekazane przez Karthikeyan Bhargavan [gnutls-SA-2015-2].
• libgnutls: Przywrócono: The gnutls_handshake () proces będzie egzekwować timeout domyślnie. To spowodowało problemy z programów non-blocking.
• certtool:. Może generować sha256 kluczowe identyfikatory
• gnutls-cli: Naprawiono błąd w --benchmark-szyfrów. Zgłoszone przez Jamesa Cloos.
• Konfiguracja: ponownie włączona do --enable-lokalnej-libopts flagą
• API i ABI modyfikacje: gnutls_x509_crt_get_pk_ecc_raw: Dodany

Co nowego w wersji 3.3.12:

• libgnutls: Podczas negocjacji TLS użyć wersji najniższa włączony w kliencie cześć, a nie najniższy obsługiwane. Ponadto, nie należy korzystać z protokołu SSL w wersji 3.0 w warstwie rekordu TLS, chyba SSL 3.0 jest jedynym protokołem obsługiwane. To rozwiązuje problemy z serwerami, które natychmiast przerwać połączenie, gdy spotkanie SSL 3.0 jak numer wersji rekordu. Zobacz: http://lists.gnutls.org/pipermail/gnutls-help/2014-November/003673.html
• libgnutls:. Poprawione kodowanie i dekodowanie parametrów ANSI X9.62
• libgnutls: Stosować zerowej długości jawny dla funkcji VIA kłódkę. To rozwiązuje potencjalne katastrofy na szyfrowanie AES dla małego rozmiaru tekstu jawnego. Łata autorstwa Matthias-Christian Ott.
• libgnutls: W DTLS nie łączyć wiele pakietów, które przekraczają MTU. Zgłoszone przez Andreasa Schulza. https://savannah.gnu.org/support/?108715
• libgnutls: W DTLS dekodować wszystkie pakiety handshake obecne w pakiecie rekordowym, w jednym przebiegu. Zgłoszone przez Andreasa Schulza. https://savannah.gnu.org/support/?108712
• libgnutls:. Po zaimportowaniu pliku CA z PKCS # 11 URL, wystarczy zaimportować certyfikaty, jeśli adres URL określa obiekty, a nie traktowanie go jako moduł zaufania
• libgnutls. Podczas importowania PKCS # 11 URL i wiemy, typ obiektu, importujemy, nie wymagają typ obiektu w URL
• libgnutls. uwierzytelnianie przy gnutls_certificate_set_retrieve_function2 stałym openpgp był używany przez serwer
• podstępu: Fix kompilacja na MinGW. Wcześniej tylko statyczną wersję "Guile-GnuTLS-V-2" Biblioteka zostanie wybudowanych, zapobiegając dynamiczne ładowanie od Guile.
• zdrady. Fix nieszkodliwe ostrzeżenie podczas kompilacji gnutls.scm początkowo zgłoszonych w
• certtool. --pubkey-info będzie również próbować załadować klucz publiczny z stdin
• gnutls-cli: Dodano opcję --starttls-proto. To pozwala określić protokół negocjacji StartTLS.
• API i ABI modyfikacje:. Brak zmian od ostatniej wersji

Co nowego w wersji 3.2.9:

• libgnutls: Opcja% DUMBFW tylko priorytetu ciąg dopisuje dane do klienta komentarzy, jeśli oczekiwany rozmiar jest w & quot; czarnej dziury & quot; Zakres.
• libgnutls:% Compat zakłada% DUMBFW
.
• libgnutls. gnutls_session_get_desc () zwraca bardziej zwarty opis algorytmów szyfrowania
• libgnutls: W PKCS # 11 umożliwić usuwanie wielu danych bez certyfikatów
.
• libgnutls: Kiedy sklep PKCS # 11 Zaufanie jest określona (np za pomocą opcji configure with-default-trust-sklepu-pkcs11), a następnie tokenu PKCS # 11 stosowany jest na żądanie w celu uzyskania zaufanych kotwice, a niż wstępne ładowanie wszystkich zaufanych certyfikatów. Że zarządzanie delegaci Certyfikat CA i Blacklist kontroli do modułu PKCS # 11.
• libgnutls: Kiedy PKCS # 11 sklep Zaufanie jest określona w opcji konfiguracji lub w gnutls_x509_trust_list_add_trust_file (), a następnie moduł jest używany w celu uzyskania kotwice weryfikacji i wszelkie wymagane czarnych list jak w http://p11-glue.freedesktop.org /doc/storing-trust-policy/storing-trust-pkcs11.html
• libgnutls: Fix w certyfikatów OCSP rozszerzenie statusu obsługi serwerów non-blocking. Łata autorstwa Nils Maier.
• p11tool:. Dodano opcję, aby wymusić logowanie jako oficer ochrony (admin) -SO Login

Co nowego w wersji 3.2.8:

• libgnutls: Kod Aktualizacja dla AES-NI. To zapobiega niezainicjowanej zmiennej skargę od valgrind.
• libgnutls. Wymuszanie maksymalny rozmiar dla liczb pierwszych DH
• libgnutls: Dodany ssse3 zoptymalizowany SHA1 i SHA256, używając kodu Andy Polyakov w
.
• libgnutls: Dodany ssse3 zoptymalizowane AES za pomocą kodu Mike Hamburga
.
• libgnutls: to tylko linki do librt jeżeli wymagane funkcje nie są obecne w libc. Zapobiega to również powiązanie pośrednie do libpthread.
• libgnutls: Naprawiono problem z wymianą gnulib strerror dodając moduł strerror gnulib
.
• libgnutls: Czas przewidziane w losowych wartości TLS jest precyzyjna tylko na pierwszych 3 bajtach. Który zapobiega wyciekowi dokładnego czasu systemowego (co najmniej po stronie klienta, gdy tylko niektóre połączenia są wykonane na jednym serwerze).
• certtool. --verify rozwiązaniem będzie używać systemu CAS, jeśli opcja load-ca-certyfikat nie jest
• Konfiguracja:. Dodano opcję --with-default-czarnej listy-pliku, aby umożliwić określenie plik certyfikatu czarnej listy
• Konfiguracja: Dodano opcję --disable-non-suiteb-krzywe. Opcja ta ogranicza obsługiwane krzywych na krzywe SuiteB.
• API i ABI modyfikacje: gnutls_record_check_corked: Dodany

Co nowego w wersji 3.2.7:

• Kilka poprawa obsługi kart inteligentnych, w obsłudze protokołu wstępnego DTLS-1.0 stosowanych w openconnect i rekordowo dekompresji.
• Wsparcie został dodany do pisania & quot; nie ma dobrze zdefiniowane & quot; data ważności certyfikatami.

Co nowego w wersji 3.2.6:

• libgnutls: Wsparcie dla TPM poprzez spodni jest teraz włączony domyślnie.
• libgnutls. Camellia w trybie GCM został dodany w priorytetach domyślnych i trybu GCM ma priorytet nad CBC na wszystkich strunach domyślne priorytetowych
• libgnutls:. Dodano algorytmów szyfrowania GNUTLS_ECDHE_RSA_AES_256_CBC_SHA384
• libgnutls: Stałe ciphersuites GNUTLS_ECDHE_ECDSA_CAMELLIA_256_CBC_SHA384, GNUTLS_ECDHE_RSA_CAMELLIA_256_CBC_SHA384 i GNUTLS_PSK_CAMELLIA_128_GCM_SHA256. Zgłoszone przez Stefana Buehler.
• libgnutls:. Dodano wsparcie dla ISO OID podpisów RSA-SHA1
• libgnutls. Minimalne akceptowalne parametry grupy DH zostały zwiększone do 767 bitów z 727
• libgnutls: funkcja Dodano uzyskać losowych danych z PKCS # 11 żetonów. Nadesłał Wolfgang Meyer zu Bergstena.
• gnulib. zaktualizowane,
• libdane: Naprawiono błąd jednorazowe w dane_query_tlsa () wprowadzone przez poprzedniego poprawki. Zgłoszone przez Tomasa Mraz.
• p11tool:. Dodano opcję generowania losowych
• API i ABI modyfikacje: gnutls_pkcs11_token_get_random: Dodany

Co nowego w wersji 3.2.5:

• W tej wersji dodano nowe ciphersuites z Camellia, SHA2- 256 i SHA2-384.
• przepełnienie bufora w bibliotece DANE został poprawiony i kilka drobnych usprawnień zostały wykonane.

Co nowego w wersji 3.2.4:

• W tej wersji dodano podstawowym sposobem wymiany RSA-PSK .
• Ma poprawki w sesji i obsługi biletowej w obsłudze żądanie certyfikatu serwera, a także inne drobne poprawki i aktualizacje.

Co nowego w wersji 3.2.3:

• Ta wersja naprawia błędy związane z parsowania pakietu TLS oraz Priorytetem ciąg parsowania.

Co jest nowe w wersji 3.2.2:

• kilka funkcji optymalizacyjnych związanych z podsystemami przetwarzania pakietów i innych akcesoriów na wsparcie DTLS pod inne warstwy transportu niż UDP.
• Kilka małych poprawek.