Suite à la découverte des failles sur OpenSSL, les développeurs d’OpenBSD ont publié les premières versions de leur fork LibreSSL : d’abord la 2.0.0 le 11 juillet 2014, puis la 2.1.0 le 12 octobre et la 2.1.1 le 16 octobre. Elles sont disponibles sur leur site FTP.
Les buts sont de moderniser la base de code, améliorer la sécurité, et appliquer les bonnes pratiques de développement (modernizing the codebase, improving security, and applying best practice development processes).
Plusieurs projets ont déjà cherché à remplacer OpenSSL. Par exemple, LibreSSL est censé fonctionner sous GNU/Linux, Solaris, Mac OS X ou FreeBSD.
Pour information ou rappel, LibreSSL et OpenSSL sont des implémentations logicielles des standards ouverts Secure Sockets Layer (SSL) et Transport Layer Security (TLS). SSL est l’ancienne version, obsolète. TLS est la version standardisée par l’IETF. Cela permet, par un jeu de clés asymétriques, de chiffrer les flux sur Internet, notamment les sites Web, comme ceux des banques (et de LinuxFr.org).
Suite à la gigantesque faille Heartbleed, permettant à un « attaquant » de lire la mémoire d’un serveur ou d’un client pour récupérer, par exemple, les clés privées utilisées, l’équipe d’OpenBSD a lancé ce fork d’OpenSSL en partant du code de la version 1.0.1g. Les commits sont quasi journaliers, et une foultitude de bogues, qui n’étaient pas corrigés depuis plusieurs années, sont rapportés.
LibreSSL est composé de quatre parties :
- l’utilitaire OpenSSL, qui fournit les outils pour gérer les clés, les certificats, etc. ;
- libcrypto : une bibliothèque d’outils fondamentaux pour la cryptographie ;
- libssl : une bibliothèque TLS, compatible avec OpenSSL ;
- libtls : une nouvelle bibliothèque TLS, conçue pour rendre plus facile l’écriture d’applications infaillibles.
BoringSSL est un autre fork qui a été fait par Google. L’entreprise promet de partager du code et des informations avec le projet LibreSSL. Ce fork est maintenu à un rythme plutôt tranquille, étant né plus comme un dépôt de correctifs OpenSSL non acceptés.
Aller plus loin
- Page principale de LibreSSL (629 clics)
- Blog de Hanno Bock (178 clics)
- FreshPorts (46 clics)
- Lien de téléchargement (59 clics)
- Annonce sur la la liste de diffusion d’OpenBSD (58 clics)
# Typo
Posté par skimpax . Évalué à 2.
s/Plusieurs projets ont déjà chercher/Plusieurs projets ont déjà cherché/
[^] # Re: Typo
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Corrigé, merci.
# Quels changements?
Posté par François Ribémont (site web personnel) . Évalué à 2.
Qu'est-ce qu'il va changer pour les administrateurs ? Les développeurs ? La mise en place est-elle facile ?
A part un changement de nom, qu'est-ce que ça change pour nous ?
[^] # Re: Quels changements?
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
La réponse me semble être dans la dépêche :
[^] # Re: Quels changements?
Posté par claudex . Évalué à 2.
Il faut se farcir CVS
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Quels changements?
Posté par Cyril Brulebois (site web personnel) . Évalué à 10.
Il suffit, mais il ne faut pas ?
Cf. https://github.com/libressl-portable
Debian Consultant @ DEBAMAX
[^] # Re: Quels changements?
Posté par djano . Évalué à 7.
:)
[^] # Re: Quels changements?
Posté par Cyril Brulebois (site web personnel) . Évalué à 3.
Je suis assez sûr qu'un clone git suffit pour créer un patch que CVS peut comprendre. Si tu as les droits de commit sur ce projet et donc envie/besoin d'y contribuer via CVS, je pense que tu as d'autres problèmes dans la vie. :p
Debian Consultant @ DEBAMAX
# Distributions ?
Posté par Adminrezo (site web personnel) . Évalué à 6.
Est-ce que quelqu'un sait si certaines distributions se sont montrées intéressées par ce projet ?
Est-ce que Debian, RedHat, Suse et autres vont s'orienter vers cette nouvelle implémentation ?
J'imagine que c'est encore tôt pour le savoir …
[^] # Re: Distributions ?
Posté par claudex . Évalué à 8.
Red Hat et Suse viennent de sortir une version stable, ils ne vont pas s'en tracasser maintenant. Debian est en plein freeze, ce n'est pas vraiment le moment d'intégrer une nouvelle bibliothèque.
Après, il me semble que LibreSSL est trop différente d'OpenSSL pour avoir des certifications gouvernementales sans validation approfondie, ce qui veut dire que RH et Suse devront soit payer la certif, soit ne pas l'intégrer (ou l'intégrer en plus d'OpenSSL, ce qui me semble peut intéressant). Donc, ces deux-là ne devraient pas être trop intéresser dans l'état actuel des choses.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Distributions ?
Posté par barmic . Évalué à 3.
Je pense que son intégration va aller vite une fois qu'OpenSSH va utiliser LibreSSL à la place d'OpenSSL et AMHA ce n'est qu'une question de temps.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Distributions ?
Posté par anaseto . Évalué à 3.
OpenSSH n'utilise que libcrypto, donc je ne suis pas sûr que ça change grand chose.
[^] # Re: Distributions ?
Posté par Krunch (site web personnel) . Évalué à 2.
Une autre possiblité est que les distributions qui veulent des certifications se dirigent vers quelque chose comme BorginSSL qui est possiblement moins radical plus corpo-compatible que LibreSSL.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Distributions ?
Posté par lockidor . Évalué à 10.
Elles vérifient quoi ces certifications ? Parce que si plusieurs failles sont passés à travers, est-ce qu'une lib sans ces certifications a moins de chance de contenir des failles qu'une avec, ou ça concerne plus la recherche d'éventuelles backdoors – ou encore autre chose ?
[^] # Re: Distributions ?
Posté par Sufflope (site web personnel) . Évalué à 2. Dernière modification le 02 décembre 2014 à 01:08.
Je sens poindre comme un mépris pour ces certifications.
Si tu as passé des certifications/audits officiels qui ont laissé passer Heartbleed (par exemple), certes tu es peut-être sujet à Heartbleed. Mais tu es tranquille pour ce qu'ils détectent.
Si tu n'as pas passé d'audit outre "la relecture de la communauté du libre" (qui a laissé passer Heartbleed aussi au passage) tu n'es sûr de rien, n'en déplaise aux messages "nous on est des vrais hommes on aura pas peur de casser la compatibilité avec VAX pour se mettre au goût du jour (mais on reste sur CVS par contre faut pas déconner (LOL)) et on écrira pas de failles putain" en page d'accueil de ton projet.
[^] # Re: Distributions ?
Posté par barmic . Évalué à 8.
Ça n'en dit pas long sur ce qu'ils vérifient durant leur auditent et en quoi leur audit est plus intéressant qu'un autre.
Si « ce qu'ils détectent » c'est les warnings du compilateur, ça n'est pas forcément très intéressant.
De plus une certification c'est pas très intéressant si ce n'est pas maintenu est-ce qu'OpenSSL actuel, qui a pris un coup de fouet dans son développement est toujours certifié ? Est-ce que la certification de l'un est plus chère que l'autre ?
Il y a eu une remise en cause du code, la communauté s'est remise en cause (avec par exemple la création d'une infrastructure pour faire des audit), qu'en est-il de ces certifications gouvernementales ?
Enfin à quoi ça sert ? OpenSSH utilise OpenSSL, mais pas tout et certaines parties sont refaites from scratch dans OpenSSH est-ce que OpenSSH est valide « gouvernement compliant » ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Distributions ?
Posté par anaseto . Évalué à 5. Dernière modification le 02 décembre 2014 à 09:41.
Pour ajouter à ce que j'ai dit plus haut, rien (je crois) n'est refait from scratch, c'est juste que dans OpenSSH, c'est pas le même protocole, donc tout ce qui est ssl/tls n'a aucune raison d'être utilisé, il y a juste quelques bouts mathématiques de libcrypto qui sont utilisés dans OpenSSH.
[^] # Re: Distributions ?
Posté par lockidor . Évalué à 2.
Pas a priori, je n'ai juste pas la moindre idée de comment ça fonctionne.
[^] # Re: Distributions ?
Posté par patrick_g (site web personnel) . Évalué à 9.
La référence pour moi c'est ce message de Ted Unangst : http://marc.info/?l=openbsd-misc&m=139819485423701&w=2
En gros FIPS c'est pire qu'inutile, c'est néfaste.
[^] # Re: Distributions ?
Posté par anaseto . Évalué à 1.
J'étais aussi tombé sur cet article et, effectivement, FIPS semble être tout sauf une bonne idée.
[^] # Re: Distributions ?
Posté par FantastIX . Évalué à 2.
C'est quoi FIPS? « Federal Information Processing Standards » ?
[^] # Re: Distributions ?
Posté par Guillaume Rousse (site web personnel) . Évalué à 3.
[^] # Re: Distributions ?
Posté par jean-michel.bertrou.eu . Évalué à 1.
Le mail répond à cet argument
[^] # Re: Distributions ?
Posté par claudex . Évalué à 7.
La question n'est pas de savoir si les certifications apportent quelque chose, tout le monde s'en fout (du moins, tout le monde qui passe une certification du genre FIPS) mais c'est requis pour être utilisé dans les administrations (ce qui fait de la pub et de l'argent).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Distributions ?
Posté par Littleboy . Évalué à 4.
Nan, ce qui est requis c'est d'avoir 'certification FIPS' sur la plaquette commerciale. OpenSSL n'est pas certifie FIPS, seulement un module specialement construit pour la certification. Le projet lui-même ne fournit qu'une version vieille de 2 ans et si tu veux un module valide il faut payer un autre fournisseur qui te donnera une version d'OpenSSL pour laquelle il a paye la certification (oui, c'est completement con…)
Bref, a part quelques cas très précis c'est du vent juste bon pour les commerciaux de grosses boites et les administrations obligees de cocher les bonnes cases juste pour sélectionner un fournisseur.
# Ça piiiique!
Posté par arnaudus . Évalué à 4.
C'est mes yeux ou le logo est typographié dans une immonde police fantaisie qui ressemble trait pour trait à l'honni Comic Sans MS (au point où même en zoomant, je n'arrive pas à dire si c'est vraiment du Comic Sans ou non)? Il y a un cinquième degré que je n'ai pas compris?
[^] # Re: Ça piiiique!
Posté par Nils Ratusznik (site web personnel, Mastodon) . Évalué à 7.
Cela fait partie d'une stratégie volontaire de montrer que le plus important n'est pas le logo ou la qualité visuelle du site, mais le code produit : c'est dans la présentation de Bob Beck.
[^] # Re: Ça piiiique!
Posté par arnaudus . Évalué à -3.
Je ne comprends pas la stratégie. Est-ce que c'est "les dissailledeurs sont des débiles et ils ne se rendront même pas compte que le logo est ridicule", ou est-ce que ça vise les gens tellement au courant qu'ils savent que le logo est humouristique mais que le produit est sérieux car ils ont vu le code?
Si c'est une stratégie à la webboob, style "on fait exprès de passer pour des ados débiles parce qu'on est un peu débiles, mais pas complètement quand même, et qu'on voit bien que ça vous gêne, mais rien que pour vous emmerder on le fait quand même—ah au fait, n'oubliez pas de dire à votre patron que ce qu'on fait c'est vachement bien", je me permets de douter de son efficacité.
[^] # Re: Ça piiiique!
Posté par FantastIX . Évalué à 7. Dernière modification le 02 décembre 2014 à 11:08.
Un peu comme quand l'idiot regarde le doigt alors que le sage montre la lune?
--> []
[^] # Re: Ça piiiique!
Posté par zurvan . Évalué à -10.
Moi ce que je trouve piquant c'est le logo de la mascotte, un terroriste responsable de milliers de morts, qui a été l'initiateur d'une doctrine totalitaire et d'un régime dictatorial.
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: Ça piiiique!
Posté par Hank Lords . Évalué à 5.
Puffy est un terroriste ?!
[^] # Re: Ça piiiique!
Posté par Benoît Sibaud (site web personnel) . Évalué à 8.
Il doit confondre. Le béret fait clairement référence à Superdupont , et la référence ultime (wikipédia donc) dit clairement qu'il lutte « contre l’Anti-France, une sorte de mouvement sectaire et terroriste », donc pas du tout un terroriste, mais un anti-terroriste. D'ailleurs dans la même veine, la France est la patrie des contre-espions, pas des espions (et c'est Audiard, l'autre référence ultime qui le dit).
# Petite précision
Posté par rakoo (site web personnel) . Évalué à 10.
Les évènements sont arrivés dans une période de temps assez courte, mais ca s'est pas passe exactement comme ca
OpenSSL via Heartbleed joue effectivement avec la mémoire, un peu trop même, et ce un peu trop aurait du être détecté par des outils de vérification qui font vachement gaffe a tout ce qui se passe sur la machine… sauf qu'OpenSSL a décidé de ne pas utiliser les outils standards et de ré-implémenter son propre malloc, qui ne pouvait donc pas être contrôlé par ces outils.
Déjà, ré-implémenter*malloc*, faut le faire… mais quand en plus la raison est que le malloc originel était trop lent sur une certaine plateforme (qui n'existe même plus de toute façon), la, c'est trop.
# À implémenter ou attendre?
Posté par koshie . Évalué à 4.
Salut,
Pardon si c'est une question idiote mais est-ce une bonne idée de passer d'OpenSSL à LibreSSL toput de suite? Ayant ArchLinux ARM pour un petit serveur personnel à la maison, il est déjà disponible en version 2.1.1-1 (AUR).
J'ai bien évidemment entendu parler d'Heartbleed mais j’admets ne pas être capable de dire si OpenSSL a correctement fait son boulot depuis…
Vu la réputation des dévs d'OpenBSD (et OpenSSH) j'ai toute confiance dans la sécurité de LibreSSL. Mais par exemple les certificats qui seront créer sont-ils "compatibles" avec NGinX, prosody et d'autres services? Doivent-ils l'implémenter ou cela est déjà fonctionnel?
PS: Qui a osé faire ce logo? Autant la police est dégueulasse, autant c'pas compliqué de faire faire un logo correct… Même le site web d'OpenBSD est moins moche.
[^] # Re: À implémenter ou attendre?
Posté par Bernez . Évalué à 6.
Le format des certificats suit des normes qui n'ont absolument rien à voir avec le code source d'OpenSSL. Il n'y a pas de raison pour que les développeurs de LibreSSL aient touché à ça. Donc, oui, il ne devrait pas y avoir de problème en terme de compatibilité des certificats.
[^] # Re: À implémenter ou attendre?
Posté par koshie . Évalué à 1.
Très bien (et merci pour la réponse), j'pense que je vais essayer ça cette semaine.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.