Вышли GnuTLS 3.37, 3.2.17 и 3.1.26
GnuTLS — это библиотека для безопасных коммуникаций, реализующая протоколы SSL, TLS и DTSL и связанные с ними технологии. Она предоставляет простой API для языка C, позволяющий получать доступ к безопасным коммуникациям, равно как и API для разбора и написания X.509, PKCS #12, OpenPGP и других необходимых структур. Её цели — переносимость и эффективность с упором на безопасность и совместимость. В данный момент поддерживаются: TLS 1.0–1.2, SSL 3.0, DTLS 1.0 и 1.2, проверка путей к сертификатам, DANE, проверка при первом использовании, OCSP, множество типов сертификатов, публичные ключи (RSA, эллиптические кривые), методы аутентификации по ключу (SRP, PSK), сильные алгоритмы шифрования (в т. ч. AES и Camellia), криптография с задействованием ЦП с замками VIA и набором инструкций AES-NI, драйвера криптографических ускорителей (через /dev/crypto), HSM’ы и криптографические токены (через PKCS #11 и TPM). Работает на большинстве Unix-платформ и Windows. Лицензия — GNU LGPLv2.1+, что позволяет использовать GnuTLS в несвободных проприетарных программах.
Эти выпуски содержат исправления ошибок для следующей, текущей и предыдущей веток соответственно.
libgnutls: Приветственный обратный вызов почтового клиента не вызывается дважды при возобновлении использования сессионных билетов (3.1.26) При сбоях декодирования элементов DN для печати они считаются неизвестными и вместо сбоя печатается их шестнадцатеричное значение. Это обход проблемы с корневым сертификатом TURKTRST, который неправильно шифрует элемент X520countryName (3.1.26) Добавлена функция экспорта публичного ключа приватного ключа PKCS #11 (спасибо Вольфгангу Майеру цу Бергстен) (3.3.7) Явно указывается показатель в генерации ключей PKCS #11. Это улучшает совместимость с некоторыми модулями PKCS #11 (спасибо Вольфгангу Майеру цу Бергстен) (3.3.7 и 3.2.17) При генерации приватного ключа PKCS #11 можно выставлять флаги WRAP/UNWRAP (спасибо Вольфгангу Майеру цу Бергстен) (3.3.7) gnutls_pkcs11_privkey_t всегда держит открытой сессию для ключа (3.3.7) Замена бандлов inet_pton и inet_aton, если не поддерживаются (3.3.7) Инициализация параметрической переменной при расшифровке PKCS #8 (3.3.7, 3.2.17 и 3.1.26) gnutls_pkcs12_verify_mac () не падает на алгоритмах, отличных от SHA1 (3.3.7, 3.2.17 и 3.1.26) gnutls_x509_crt_check_hostname () соблюдает требования RFC6125 о проверке части Common Name (CN) DN только если в сертификате присутствует лиш одно CN (3.3.7) При проверке имени хоста сертификата с несколькими CN убеждается, что используется «наиболее специфический» CN (3.2.17 и 3.1.26) Можно использовать переменную среды GNUTLS_FORCE_FIPS_MODE, выставленную в 1, для принудительного режима FIPS (3.3.7) В DTLS игнорируются только ошибки, относящиеся к неожиданным пакетам и неудачным расшифровкам (3.3.7, 3.2.17 и 3.1.26) p11toolДобавлен параметр --info (3.3.7) Вход в качестве сотрудника службы безопасности не включается неявно для определённых типов объектов. Это решает проблему с токенами, которым нужны другие типы входа (3.1.26) Добавлен параметр --so-login, делающий вход в качестве сотрудника службы безопасности (админ) (3.1.26) certtoolДобавлен параметр --mark-wrap (3.3.7) danetool--check пытается получить цепочку сертификатов сервера и проверить против неё (3.3.7) +gnutls-cli-debug: добавлен параметр --app-proto, который можно использовать для принудительного starttls (пока только SMTP и IMAP) на соединении (3.3.7) Добавлено исключение связывания с openssl, позволяющее связывание с libunbound (3.3.7) Изменения в API и ABI (только 3.3.7):
Добавлен GNUTLS_PKCS11_OBJ_ATTR_MATCH Добавлен gnutls_pkcs11_privkey_export_pubkey Добавлен gnutls_pkcs11_obj_flags_get_str Добавлен gnutls_pkcs11_obj_get_flags Скачать:
ftp://ftp.gnutls.org/gcrypt/gnutls/v3.3/gnutls-3.3.7.tar.xzftp://ftp.gnutls.org/gcrypt/gnutls/v3.3/gnutls-3.3.7.tar.lz
ftp://ftp.gnutls.org/gcrypt/gnutls/v3.2/gnutls-3.2.17.tar.xzftp://ftp.gnutls.org/gcrypt/gnutls/v3.2/gnutls-3.2.17.tar.lz
ftp://ftp.gnutls.org/gcrypt/gnutls/v3.1/gnutls-3.1.26.tar.xzftp://ftp.gnutls.org/gcrypt/gnutls/v3.1/gnutls-3.1.26.tar.lz
Список зеркал можно найти на: http://www.gnutls.org/download.html.
gnutls, security, безопасность
Эти выпуски содержат исправления ошибок для следующей, текущей и предыдущей веток соответственно.
libgnutls: Приветственный обратный вызов почтового клиента не вызывается дважды при возобновлении использования сессионных билетов (3.1.26) При сбоях декодирования элементов DN для печати они считаются неизвестными и вместо сбоя печатается их шестнадцатеричное значение. Это обход проблемы с корневым сертификатом TURKTRST, который неправильно шифрует элемент X520countryName (3.1.26) Добавлена функция экспорта публичного ключа приватного ключа PKCS #11 (спасибо Вольфгангу Майеру цу Бергстен) (3.3.7) Явно указывается показатель в генерации ключей PKCS #11. Это улучшает совместимость с некоторыми модулями PKCS #11 (спасибо Вольфгангу Майеру цу Бергстен) (3.3.7 и 3.2.17) При генерации приватного ключа PKCS #11 можно выставлять флаги WRAP/UNWRAP (спасибо Вольфгангу Майеру цу Бергстен) (3.3.7) gnutls_pkcs11_privkey_t всегда держит открытой сессию для ключа (3.3.7) Замена бандлов inet_pton и inet_aton, если не поддерживаются (3.3.7) Инициализация параметрической переменной при расшифровке PKCS #8 (3.3.7, 3.2.17 и 3.1.26) gnutls_pkcs12_verify_mac () не падает на алгоритмах, отличных от SHA1 (3.3.7, 3.2.17 и 3.1.26) gnutls_x509_crt_check_hostname () соблюдает требования RFC6125 о проверке части Common Name (CN) DN только если в сертификате присутствует лиш одно CN (3.3.7) При проверке имени хоста сертификата с несколькими CN убеждается, что используется «наиболее специфический» CN (3.2.17 и 3.1.26) Можно использовать переменную среды GNUTLS_FORCE_FIPS_MODE, выставленную в 1, для принудительного режима FIPS (3.3.7) В DTLS игнорируются только ошибки, относящиеся к неожиданным пакетам и неудачным расшифровкам (3.3.7, 3.2.17 и 3.1.26) p11toolДобавлен параметр --info (3.3.7) Вход в качестве сотрудника службы безопасности не включается неявно для определённых типов объектов. Это решает проблему с токенами, которым нужны другие типы входа (3.1.26) Добавлен параметр --so-login, делающий вход в качестве сотрудника службы безопасности (админ) (3.1.26) certtoolДобавлен параметр --mark-wrap (3.3.7) danetool--check пытается получить цепочку сертификатов сервера и проверить против неё (3.3.7) +gnutls-cli-debug: добавлен параметр --app-proto, который можно использовать для принудительного starttls (пока только SMTP и IMAP) на соединении (3.3.7) Добавлено исключение связывания с openssl, позволяющее связывание с libunbound (3.3.7) Изменения в API и ABI (только 3.3.7):
Добавлен GNUTLS_PKCS11_OBJ_ATTR_MATCH Добавлен gnutls_pkcs11_privkey_export_pubkey Добавлен gnutls_pkcs11_obj_flags_get_str Добавлен gnutls_pkcs11_obj_get_flags Скачать:
ftp://ftp.gnutls.org/gcrypt/gnutls/v3.3/gnutls-3.3.7.tar.xzftp://ftp.gnutls.org/gcrypt/gnutls/v3.3/gnutls-3.3.7.tar.lz
ftp://ftp.gnutls.org/gcrypt/gnutls/v3.2/gnutls-3.2.17.tar.xzftp://ftp.gnutls.org/gcrypt/gnutls/v3.2/gnutls-3.2.17.tar.lz
ftp://ftp.gnutls.org/gcrypt/gnutls/v3.1/gnutls-3.1.26.tar.xzftp://ftp.gnutls.org/gcrypt/gnutls/v3.1/gnutls-3.1.26.tar.lz
Список зеркал можно найти на: http://www.gnutls.org/download.html.
gnutls, security, безопасность
Ещё новости по теме:
18:20