GnuTLS jest open source i całkowicie za darmo projektem, który ma na celu opracowanie Transport Layer Security (TLS) bibliotekę dla systemu operacyjnego GNU / Linux. Zapewnia bezpieczną warstwę ponad wiarygodnego warstwie transportowej, wprowadzania standardów proponowanych przez grupę roboczą IETF TLS.
Obsługuje szeroki zakres protokołów bezpieczeństwa
Projekt oferuje wsparcie dla wielu protokołów bezpieczeństwa, w tym wsparcie dla Transport Layer Security (TLS 1.2, TLS 1.1, TLS 1.0), wsparcie dla Secure Sockets Layer (SSL 3.0), a także wsparcie dla protokołu Datagram TLS.
Ponadto, oprogramowanie GnuTLS zapewnia wsparcie dla uwierzytelniania przy użyciu zarówno certyfikaty X.509 i OpenPGP, jak również wsparcie dla kluczowych i haseł metod uwierzytelniania, takich jak PSK (Phase Shift Keying) i SRP (Secure Remote Password) protokoły .
Cechy, wiele funkcji
Ponadto, w uzupełnieniu do DSA i RSA, projekt wspiera krzywe eliptyczne, zapewnia OCSP (Online Certificate Status Protocol) wsparcie, CPU-assisted wsparcie kryptografii z AES-NI i VIA zestawów instrukcji kłódki, wsparcie dla szyfrowania kierowców akceleratora poprzez / dev / krypto.
Ponadto, GnuTLS zapewnia natywne wsparcie dla tokenów kryptograficznych, takich jak smart-karty, poprzez PKCS # 11, oferuje natywne wsparcie dla Trusted Platform Module (TPM), a także wsparcie dla wszystkich silnych algorytmów szyfrowania, w tym Camellia i AES.
Obsługuje wszystkie systemy operacyjne GNU / Linux
GnuTLS został z powodzeniem przetestowany na wielu systemach operacyjnych Linux Kernel-based. Fakt sprawy jest to, że & rsquo; s. Kompatybilny ze wszystkimi systemami operacyjnymi GNU / Linux i działa na komputerach wspierających jeden z 32 lub 64-bitowych architektur zestaw instrukcji
Oprogramowanie jest dostępne na wszystkich głównych dystrybucjach GNU / Linux, instalowanego z ich oficjalnych repozytoriów oprogramowania. Najnowsze wydanie GnuTLS zawsze można pobrać z Softoware lub za pośrednictwem swojej oficjalnej stronie internetowej (patrz link stronę poniżej), jako pakiet źródłowy powszechnej.
Co nowego w tym wydaniu:
- libgnutls: Śledź ściśle RFC5280 zalecenia i używać UTCTime dla dat przed 2050 .
- libgnutls. Siła 16-bajtowy dostosowanie do wszystkich wejście do szyfrów (wcześniej zrobił to tylko wtedy, gdy cryptodev była włączona)
- libgnutls:. Usunięto wsparcie dla pthread_atfork () jak to niezdefiniowana semantykę, gdy używana z dlopen (), i może prowadzić do wypadku
- libgnutls. skorygowany awarii podczas importowania zwykłych plików z gnutls_x509_privkey_import2 (), a hasło zostało dostarczone
- libgnutls:. Nie należy odrzucać certyfikatów czy Kalifornia ma ograniczeń Nazwa Adres URI lub IP oraz certyfikat końcowy nie ma nazwę adresu IP lub zbiór URI
- libgnutls. ustawić i odczytać aluzję w DHE-PSK i ECDHE-PSK ciphersuites
- p11tool:. Dodano --list-Opcja tokenu adresy URL-i wydrukować symboliczną nazwę tego modułu lista-tokenów
- API i ABI modyfikacje:
- gnutls_ecc_curve_get_oid: Dodany
- gnutls_digest_get_oid: Dodany
- gnutls_pk_get_oid: Dodany
- gnutls_sign_get_oid: Dodany
- gnutls_ecc_curve_get_id: Dodany
- gnutls_oid_to_digest: Dodany
- gnutls_oid_to_pk: Dodany
- gnutls_oid_to_sign: Dodany
- gnutls_oid_to_ecc_curve: Dodany
- gnutls_pkcs7_get_signature_count: Dodany
Co nowego w wersji 3.4.1:
- libgnutls: Sprawdź nieprawidłowej długości w X. 509 wersja pola. Bez certyfikatów kontrolnych z nieprawidłowej długości będzie wykrywany jako posiadające dowolną wersję. Przekazane przez Hanno Bock.
- libgnutls: Stosować ograniczenia nazw DNS z kropką. Łata autorstwa Fotis Loukos.
- libgnutls: Aktualizacja systemu klucze Support dla systemu Windows do kompilacji w kilku wersjach MinGW. Łata autorstwa Tim Kosse.
- libgnutls: Fix do MD5 downgrade w TLS 1.2 podpisów. Przekazane przez Karthikeyan Bhargavan [gnutls-SA-2015-2].
- libgnutls: Przywrócono: The gnutls_handshake () proces będzie egzekwować timeout domyślnie. To spowodowało problemy z programów non-blocking.
- certtool:. Może generować sha256 kluczowe identyfikatory
- gnutls-cli: Naprawiono błąd w --benchmark-szyfrów. Zgłoszone przez Jamesa Cloos.
- Konfiguracja: ponownie włączona do --enable-lokalnej-libopts flagą
- API i ABI modyfikacje: gnutls_x509_crt_get_pk_ecc_raw: Dodany
Co nowego w wersji 3.3.12:
- libgnutls: Podczas negocjacji TLS użyć wersji najniższa włączony w kliencie cześć, a nie najniższy obsługiwane. Ponadto, nie należy korzystać z protokołu SSL w wersji 3.0 w warstwie rekordu TLS, chyba SSL 3.0 jest jedynym protokołem obsługiwane. To rozwiązuje problemy z serwerami, które natychmiast przerwać połączenie, gdy spotkanie SSL 3.0 jak numer wersji rekordu. Zobacz: http://lists.gnutls.org/pipermail/gnutls-help/2014-November/003673.html
- libgnutls:. Poprawione kodowanie i dekodowanie parametrów ANSI X9.62
- libgnutls: Stosować zerowej długości jawny dla funkcji VIA kłódkę. To rozwiązuje potencjalne katastrofy na szyfrowanie AES dla małego rozmiaru tekstu jawnego. Łata autorstwa Matthias-Christian Ott.
- libgnutls: W DTLS nie łączyć wiele pakietów, które przekraczają MTU. Zgłoszone przez Andreasa Schulza. https://savannah.gnu.org/support/?108715
- libgnutls: W DTLS dekodować wszystkie pakiety handshake obecne w pakiecie rekordowym, w jednym przebiegu. Zgłoszone przez Andreasa Schulza. https://savannah.gnu.org/support/?108712
- libgnutls:. Po zaimportowaniu pliku CA z PKCS # 11 URL, wystarczy zaimportować certyfikaty, jeśli adres URL określa obiekty, a nie traktowanie go jako moduł zaufania
- libgnutls. Podczas importowania PKCS # 11 URL i wiemy, typ obiektu, importujemy, nie wymagają typ obiektu w URL
- libgnutls. uwierzytelnianie przy gnutls_certificate_set_retrieve_function2 stałym openpgp był używany przez serwer
- podstępu: Fix kompilacja na MinGW. Wcześniej tylko statyczną wersję "Guile-GnuTLS-V-2" Biblioteka zostanie wybudowanych, zapobiegając dynamiczne ładowanie od Guile.
- zdrady. Fix nieszkodliwe ostrzeżenie podczas kompilacji gnutls.scm początkowo zgłoszonych w
- certtool. --pubkey-info będzie również próbować załadować klucz publiczny z stdin
- gnutls-cli: Dodano opcję --starttls-proto. To pozwala określić protokół negocjacji StartTLS.
- API i ABI modyfikacje:. Brak zmian od ostatniej wersji
Co nowego w wersji 3.2.9:
- libgnutls: Opcja% DUMBFW tylko priorytetu ciąg dopisuje dane do klienta komentarzy, jeśli oczekiwany rozmiar jest w & quot; czarnej dziury & quot; Zakres.
- libgnutls:% Compat zakłada% DUMBFW .
- libgnutls. gnutls_session_get_desc () zwraca bardziej zwarty opis algorytmów szyfrowania
- libgnutls: W PKCS # 11 umożliwić usuwanie wielu danych bez certyfikatów .
- libgnutls: Kiedy sklep PKCS # 11 Zaufanie jest określona (np za pomocą opcji configure with-default-trust-sklepu-pkcs11), a następnie tokenu PKCS # 11 stosowany jest na żądanie w celu uzyskania zaufanych kotwice, a niż wstępne ładowanie wszystkich zaufanych certyfikatów. Że zarządzanie delegaci Certyfikat CA i Blacklist kontroli do modułu PKCS # 11.
- libgnutls: Kiedy PKCS # 11 sklep Zaufanie jest określona w opcji konfiguracji lub w gnutls_x509_trust_list_add_trust_file (), a następnie moduł jest używany w celu uzyskania kotwice weryfikacji i wszelkie wymagane czarnych list jak w http://p11-glue.freedesktop.org /doc/storing-trust-policy/storing-trust-pkcs11.html
- libgnutls: Fix w certyfikatów OCSP rozszerzenie statusu obsługi serwerów non-blocking. Łata autorstwa Nils Maier.
- p11tool:. Dodano opcję, aby wymusić logowanie jako oficer ochrony (admin) -SO Login
Co nowego w wersji 3.2.8:
- libgnutls: Kod Aktualizacja dla AES-NI. To zapobiega niezainicjowanej zmiennej skargę od valgrind.
- libgnutls. Wymuszanie maksymalny rozmiar dla liczb pierwszych DH
- libgnutls: Dodany ssse3 zoptymalizowany SHA1 i SHA256, używając kodu Andy Polyakov w .
- libgnutls: Dodany ssse3 zoptymalizowane AES za pomocą kodu Mike Hamburga .
- libgnutls: to tylko linki do librt jeżeli wymagane funkcje nie są obecne w libc. Zapobiega to również powiązanie pośrednie do libpthread.
- libgnutls: Naprawiono problem z wymianą gnulib strerror dodając moduł strerror gnulib .
- libgnutls: Czas przewidziane w losowych wartości TLS jest precyzyjna tylko na pierwszych 3 bajtach. Który zapobiega wyciekowi dokładnego czasu systemowego (co najmniej po stronie klienta, gdy tylko niektóre połączenia są wykonane na jednym serwerze).
- certtool. --verify rozwiązaniem będzie używać systemu CAS, jeśli opcja load-ca-certyfikat nie jest
- Konfiguracja:. Dodano opcję --with-default-czarnej listy-pliku, aby umożliwić określenie plik certyfikatu czarnej listy
- Konfiguracja: Dodano opcję --disable-non-suiteb-krzywe. Opcja ta ogranicza obsługiwane krzywych na krzywe SuiteB.
- API i ABI modyfikacje: gnutls_record_check_corked: Dodany
Co nowego w wersji 3.2.7:
- Kilka poprawa obsługi kart inteligentnych, w obsłudze protokołu wstępnego DTLS-1.0 stosowanych w openconnect i rekordowo dekompresji.
- Wsparcie został dodany do pisania & quot; nie ma dobrze zdefiniowane & quot; data ważności certyfikatami.
Co nowego w wersji 3.2.6:
- libgnutls: Wsparcie dla TPM poprzez spodni jest teraz włączony domyślnie.
- libgnutls. Camellia w trybie GCM został dodany w priorytetach domyślnych i trybu GCM ma priorytet nad CBC na wszystkich strunach domyślne priorytetowych
- libgnutls:. Dodano algorytmów szyfrowania GNUTLS_ECDHE_RSA_AES_256_CBC_SHA384
- libgnutls: Stałe ciphersuites GNUTLS_ECDHE_ECDSA_CAMELLIA_256_CBC_SHA384, GNUTLS_ECDHE_RSA_CAMELLIA_256_CBC_SHA384 i GNUTLS_PSK_CAMELLIA_128_GCM_SHA256. Zgłoszone przez Stefana Buehler.
- libgnutls:. Dodano wsparcie dla ISO OID podpisów RSA-SHA1
- libgnutls. Minimalne akceptowalne parametry grupy DH zostały zwiększone do 767 bitów z 727
- libgnutls: funkcja Dodano uzyskać losowych danych z PKCS # 11 żetonów. Nadesłał Wolfgang Meyer zu Bergstena.
- gnulib. zaktualizowane,
- libdane: Naprawiono błąd jednorazowe w dane_query_tlsa () wprowadzone przez poprzedniego poprawki. Zgłoszone przez Tomasa Mraz.
- p11tool:. Dodano opcję generowania losowych
- API i ABI modyfikacje: gnutls_pkcs11_token_get_random: Dodany
Co nowego w wersji 3.2.5:
- W tej wersji dodano nowe ciphersuites z Camellia, SHA2- 256 i SHA2-384.
- przepełnienie bufora w bibliotece DANE został poprawiony i kilka drobnych usprawnień zostały wykonane.
Co nowego w wersji 3.2.4:
- W tej wersji dodano podstawowym sposobem wymiany RSA-PSK .
- Ma poprawki w sesji i obsługi biletowej w obsłudze żądanie certyfikatu serwera, a także inne drobne poprawki i aktualizacje.
Co nowego w wersji 3.2.3:
- Ta wersja naprawia błędy związane z parsowania pakietu TLS oraz Priorytetem ciąg parsowania.
Co jest nowe w wersji 3.2.2:
- kilka funkcji optymalizacyjnych związanych z podsystemami przetwarzania pakietów i innych akcesoriów na wsparcie DTLS pod inne warstwy transportu niż UDP.
- Kilka małych poprawek.
Komentarze nie znaleziono