MatrixSSL הוא קוד פתוח ופרויקט מסחרי שתוכנן כדי לספק SSL המוטבע (Secure Sockets Layer) ו- TLS (Transport Layer Security) יישומים עבור התקני טביעת רגל קטנים ויישומים.
תכונות במבט חטוף
עם תחת טביעת הרגל כוללת 50KB, התוכנה כוללת SSL (Secure Sockets Layer) 3.0 / לקוח לנתק את התמיכה, TLS (אבטחת התחבורה Layer) 1.0, 1.1 ותמיכת שרת / לקוח 1.2, ספריית הצפנה המיישמת את RSA, AES, MD5, SHA1, 3DES, ECC, ARC4, והצפנת RC2 אלגוריתמים.
בנוסף, MatrixSSL מספק חבילות צופן שונות, פלטפורמות CRL (לביטול אישור רשימה) תמיכה, משא ומתן מחודש מושב צופן מחדש מפתוח, אימות שרשרת אישורי X.509, כמו גם אופטימיזציות לשפת ההרכבה, התמיכה אינטל, MIPS ו- ARM.
בין תכונות מעניינות אחרות, אנחנו יכולים לדבר על תמיכה מלאה עבור מטמון פגישה וחידוש, תמיכת כרטיסים חסר מדינת מושב, תמיכת הוריה שם שרת, משא ומתן פרוטוקול יישום RFC7301, ותמיכת אלגוריתם חתימת RSASSA-PSS.
תכונה מעניינת נוספת היא היכולת לנתח תעודות DER ASN.1 ו.pem X.509. הפרויקט תומך גם PKCS # 12, PKCS # 5, PKCS # 1.5 וPKCS # 8 לעיצוב מפתח, תומך SSH (Secure Shell) שורת הפקודה, תומך (Security Layer Datagram תעבורה) DTLS, מספק ספק חבילה, הצפנה צופן לחיבור, מערכת perating וממשקי malloc, תומכים בפרוטוקול TCP / IP, ומציעה גם תיעוד של המשתמשים הקצה והמפתחים.
תחילת עבודה עם MatrixSSL
כדי להתקין את תוכנת MatrixSSL על מערכת ההפעלה גנו / לינוקס שלך, להוריד את המהדורה האחרונה של פרויקט & rsquo; s אתר (ראה קישור בדף הבית בסוף הסקירה), לשמור אותו במקום כלשהו במחשב שלך, ולפרוק אותו.
פתח את יישום מסוף אמולטור, ללכת למקום שבו אתה & rsquo; ve חילוץ קובץ הארכיון (למשל cd / home / softoware / matrixssl-3-7-1-פתוח - להחליף & lsquo; softoware & rsquo; עם שם המשתמש שלך), הפעל את & lsquo; לעשות & rsquo; הפקודה כדי לקמפל את התכנית, ולאחר מכן להפעיל את & lsquo; sudo make install & rsquo; הפקודה כדי להתקין אותו.
מה חדש בהודעה זו:
- אבטחת תיקונים:
- X.509 וניתוח ASN.1 שיפורים - צוות מחקר איומים מתקדם באינטל האבטחה גילו כמה בעיות כחלק מהמחקר שלהם בהתקפה להשתולל על אימות חתימת RSA. MatrixSSL אינו מכיל את הפגיעות שיכולים לגרום להתקפת MITM, אולם חלק משדות ASN.1 אחרים לא נבדקו באופן עקבי נגד נותר אורך מאגר כאשר מנותח. אלה כל תוקנו, ו() API הפנימי getAsnLength עכשיו גם מבצע בדיקה כפולה נגד אורך המאגר שנותר לשדות באורך משתנים בכל המקרים.
- קבוע בזמן זיכרון השוואה - השיחות לmemcmp () הוחלף ביישום memcmpct () כדי להפחית את היעילות של התקפות מבוססות עיתוי עתיד .
- תכונות חדשות:
- שכבת יישומים - פיתוח ומימוש RFC 7301 .
- X.509 חתימות RSASSA-PSS -. MatrixSSL תומך כעת אלגוריתם חתימת RSASSA-PSS בטוח יותר בתעודות X.509
- Run-Time TLS בקרת תכונה - עכשיו ניתן לאפשר שימוש HMAC קטום, בקשות אורך קטע מרביים, ומפרט עקום אליפטיים על בסיס לכל מושב בעת יצירת הפעלה חדשה ..
- שינויי API:
- מספר -. אנא ראה את הערות המוצר כלולים בחבילה לפרטים
משא ומתן פרוטוקול
מה חדש בגרסת 3.4.2:
- תיקוני באגים ושיפורים:
- שיקים Run-Time משופר של תעודת אלגוריתמי ההצפנה נגד Suites בדיקת אלגוריתמי מפתח וחתימה הציבוריים של חומר התעודה בזמן אתחול ומשא ומתן חבילת צופן הוא עכשיו מחמיר. שרתים יסתכלו עכשיו על אלגוריתם החתימה של אישורם כאשר המשא ומתן חבילות צופן כדי להבטיח את מנגנון האימות עולה בקנה אחד עם חבילת הצופן. זה מאפשר ללחיצת היד להיכשל בתחילת התהליך, אם חומר התעודה אינו תומך בחבילת צופן מבוקש. זה בעיקר הגנה מפני שגיאות תצורת משתמש, כי שרת לא צריך לאפשר סוויטות צופן זה הוא לא מוכן לתמוך. לקוחות החברה לאשר את אלגוריתם חתימת אישור השרת כאמצעי מנע במהלך הניתוח של הודעת התעודה. גרסאות קודמות היו לנתק את החיבור מאוחר יותר בתהליך לחיצת היד כאשר האלגוריתם שאינו נתמך היה נתקל להפעלת המפתח הציבורית עצמו.
- SSL התראה שנשלחה על גרסאות לחיצת היד לכלול יצירת כישלון קודמות בשקט היה לנתק את חיבור SSL אם יצירת הודעת לחיצת יד נכשלה. עכשיו התראת INTERNAL_ERROR נשלחה לפני סגירת החיבור.
- חידוש מושב פג תוקף תקן תמיכה בשרת קבוע לתרחישים שבהם ישיבה שכבר נמצאת במצב לחיצת יד חידש תהיה נכונה ליפול חזרה ללחיצת יד מלאה אם הלקוח מנסה מחדש לחיצת יד התחדשה לאחר הפגישה פקעה במטמון השרת .
- השבת יארו לפי ברירת מחדל ופשוטה PRNG הזריעה מחדש USE_YARROW להגדיר כעת מושבת כברירת מחדל בcryptoConfig.h כי שני המקורות אנטרופיה ברירת מחדל איסופם PRNG מקורות עצמם כך שזה לא הכרחי להפעלת נתונים שבאמצעות יארו. שינוי זה יביא לשיפור מהירות חיבור קטין. אם יש צורך ביארה, ההיגיון לזריעה מחדש אלגוריתם שהופשט לעדכן רק על כמות הנתונים לקרוא ולא כולל את מספר הקריאות לפונקציות לפונקציה אחזור PRNG.
- הוסר תצורת USE_RSA הגדר גרסת הקוד הפתוחה של MatrixSSL תומך רק בסוויטות צופן RSA כך הסרת האפשרות שעושה את זה מפורש.
- יישומי דוגמא לטעון רשימת CA מלאה כדי לסייע בבדיקות, יישומי לקוח דוגמא ושרת עכשיו לטעון את הרשימה המלאה של מדגם רשות אישורי קבצים כך קומפילציה אינה נחוצה אם שינוי מדגם חומר תעודת העמיתים.
מה חדש בגרסת 3.4.1:
- תכונות אבטחה:
- אמצעי נגד שלוש עשרה לאקי - התקפה נגד ריפוד צופן הבלוק הוכחה להיות ריאלי. זה משפיע על צופן CBC כולל AES ו3DES. עדכון זה מוסיף תזמון נגד שלהפחית את היעילות של התקפה זו.
מה חדש בגרסת 3.1.4:
- עדכוני תכונה:
- אלגוריתמים להצפנה ראשיות עכשיו יש לי אפשרויות הגדרה לגודל מול פשרות מהירות גרסאות קודמות של MatrixSSL היו פעם מתועדת הידור להגדיר (SMALL_CODE) שהשפיעה על גודל הקוד בינארי של כמה אלגוריתמי הצפנה סימטריים. כל אלגוריתם שהשתמש זה מגדיר כעת ניתנו להגדירה כדי לקבוע אם המשתמש רוצה לבנות את הספרייה לתמיכת אלגוריתם מהירה יותר במחיר של גודל קוד בינארי מוגבר. הגודל לעומת איזון מהירות הוא פלטפורמה תלויה אך, באופן כללי, שיפורי המהירות יהיו כ -5% -10% במחיר של 10-20KB עבור כל אלגוריתם. ברירת המחדל, בכל מקרה, הוא שמגדיר אלה מושבתים בcryptoConfig.h לקמפל לטובת טביעת הרגל הקטנה ביותר בינארי.
- RSA אלגוריתם עכשיו יש אפשרות תצורה לשימוש בזיכרון לעומת איזון במהירות. זוג מגדיר נוספו כדי לקבוע אם אלגוריתם RSA צריך להיות הידור לשימוש RAM קטן יותר או ביצועים מהירים יותר. ברירת המחדל הוא לקמפל לשימוש RAM קטן יותר.
- שרתים יכולים עכשיו להשבית סוויטות ספציפיות צופן בזמן הריצה - סוויטות הצפנה שעברו הידור לספרייה עכשיו יכול להיות נכה ידי תוכניות (ולהפעילה מחדש) על בסיס לכל מושב. זה שימושי עבור שרתים המבקשים להגביל את סוויטות צופן הנתמכות עבור לקוח חיבור ספציפי. API חדש, matrixSslSetCipherSuiteEnabledStatus, נוספו לתומך בפונקציונליות זו. אנא עיין בתיעוד API MatrixSSL לקבלת מידע מפורט על תכונה חדשה זו.
- פרויקט לפיתוח Xcode iPhone כלול עכשיו -. באפליקציות / ספריית iphone המשתמש יכול כעת למצוא פרויקט Mac Xcode לפיתוח SSL / יישומי לקוח TLS עבור iPhone
- תאימות עם דפדפני Chrome שרת שמשתמשים ב" להתחיל שווא "- דפדפן Google Chrome הציג מנגנון פרוטוקול חדש בשם" התחלה כוזבת "שאינו תואמת ליישומי TLS מחמירים שאינו מאפשרים חילופי נתונים יישום לפני פרוטוקול לחיצת היד הוא מלא . מאפשר ENABLE_FALSE_START בmatrixsslConfig.h יאפשר גרסאות חדשות יותר של דפדפן Chrome להתחבר עם שרתי MatrixSSL. מופעל כברירת מחדל.
- סוג נתוני int16 מפורש חדש נוספו - קובץ osdep.h כולל כעת typedef לסוג מספר שלם של 16 סיביות שנקרא int16. ניתן למצוא השימוש הפנימי הראשוני של סוג הנתונים החדש בפונקציה המתמטית pstm.c כדי לעזור לשפר את ביצועים בכמה פלטפורמות.
- עדכון לדוגמאות Stellaris מאור מיקרו / TI - עדכון לתמיכה בגרסה החדשה של דוגמאות שרת האינטרנט מאובטחים לARM Cortex-M3 .
- שינויי API הציבורי:
- לקמפל-זמן להגדיר לתמיכה במערכת קבצים השתנה - USE_FILE_SYSTEM להגדיר השתנה לכלול קידומת PS_ כך שזה עכשיו PS_USE_FILE_SYSTEM. בנוסף, זה להגדיר הוא כבר לא קיים בקובץ כותרת coreConfig.h. יש לכלול אותו בסביבה לבנות פלטפורמה כמו זמן הידור להגדיר אם יש צורך בתמיכה במערכת קבצים.
- סוגי שבות השתנו לשגרה לפתוח ולסגור osdep.c -. פונקציות ממשק הפלטפורמה מיושמות בosdep.c עבר שינויי אב טיפוס
מה חדש בגרסת 3.1.3:
- אפשרות תצורה בצד השרת התווספה ללהקטין את גודל הפעלה בינארי עם ניתוח X.509 פשוט.
- האלגוריתם יארו PRNG כלול לעיבוד אנטרופיה חזק.
- תכונות X.509 ללא ASCII נתמכות בתעודות.
- פרויקט קבצים עבור Windows עודכנו לVS Express 2010.
- קוד ההחזרה הובהר לAPI matrixSslReceivedData ().
מה חדש בגרסה 3.1:
- API החדש, דוגמאות וחבילת בדיקות
- TLS ו- AES כלול בקוד פתוח
- לחיצת יד SSL מלאה דורשת כעת & lt; 10KB של זיכרון RAM, כוללים כריות רשת!
- קבצי פרויקט לGNU לעשות, Visual Studio וXcode
- ובכל זאת & lt; מרחב קוד 50KB!
מה חדש בגרסה 1.8.7d:
- משופר של טיסות המכילות מסרים לחיצת יד מרובות מקודד.
- . ניתוח משופר של מפתחות פרטיים המוגן בסיסמא
- טיפול משופר של CA הנפיק תעודות שטעות אפשרו מיתרים פגומים בשם הדומיין.
טיפול
מה חדש בגרסת 1.8.6:
- שגרת matrixRsaParsePubKey הוסיפה למפתחות מעוצבים X.509 SubjectPublicKeyInfo.
- יש תמיכה מלאה של ניתוח הארכת subjectAltName בתעודות.
- לקוחות רשאים לשלוח פרמטרים דחיסה מרובים בהודעת CLIENT_HELLO.
- שגרת matrixX509ReadCert תומכת בפורמטי כותרת עליונה ותחתונות קובץ PEM נוסף.
- שגיאת כתיב שם הקובץ בhttpsReflector.c לטעינת תעודת הדוגמא CAcertCln.der תוקנה.
תמיכה
תגובות לא נמצא