GnuTLS

GnuTLS je open source a zcela zdarma software, projekt, který si klade za cíl vyvinout Transport Layer Security (TLS), knihovnu pro operační systémy GNU / Linux. Poskytuje zabezpečené vrstvu, přes spolehlivé transportní vrstvy, zavádění norem navržených pracovní skupinou IETF TLS.

Projekt nabízí podporu pro širokou škálu bezpečnostních protokolů, včetně podpory pro Transport Layer Security (TLS 1.2, TLS 1.1, TLS 1.0), podporu pro Secure Sockets Layer (SSL 3.0), a podporu pro protokol Datagram TLS.

Kromě toho software GnuTLS poskytuje podporu pro ověřování použití jak X.509 a OpenPGP certifikáty, stejně jako podporu pro klíčové a heslo metod ověřování, jako je PSK (Phase-shift Keying) a SRP (Secure Remote Password) protokoly .

Navíc, kromě DSA a RSA, projekt podporuje eliptických křivek, poskytuje OCSP (Online Certificate Status Protocol) podpory, CPU-pomáhal podpora kryptografie s AES-NI a VIA visací zámek instrukční sady, podporu pro kryptografický řidiče urychlovače přes / dev / crypto.

Kromě toho, GnuTLS poskytuje nativní podporu pro kryptografických tokenů, jako jsou čipové karty, pomocí PKCS # 11, nabízí nativní podporu pro Trusted Platform Module (TPM), stejně jako podporu pro všechny silných šifrovacích algoritmů, včetně Camellia a AES.

GnuTLS byl úspěšně testován na široké škále Linux kernel operačních systémech. Skutečnost, že věc je, že to & rsquo; s. Kompatibilní se všemi operačními systémy GNU / Linux a běží na počítačích, které podporují buď z instrukční sady architektur 32 nebo 64-bitové

Tento software je k dispozici na všech hlavních distribucí GNU / Linuxu, instalovat z jejich úředních softwarových repozitářů. Nejnovější verze GnuTLS lze vždy stáhnout z Softoware nebo prostřednictvím svých oficiálních internetových stránkách (viz odkaz homepage níže), jako univerzální zdrojového balíčku.

Co je nového v tomto vydání:

• libgnutls: Dodržujte pozorně RFC5280 doporučení a používat UTCTime pro data před 2050
.
• libgnutls:. Force 16-byte vyrovnání na všechny vstupy do šifer (dříve to bylo provedeno pouze tehdy, když bylo povoleno cryptodev)
• libgnutls:. odebrána podpora pro pthread_atfork (), jak to Nespecifikováno sémantiku při použití s ​​dlopen (), a může vést k pádu
• libgnutls:. opraveno selhání při importu prosté soubory s gnutls_x509_privkey_import2 (), a heslo byly poskytnuty
• libgnutls:. Neodmítejte certifikáty, pokud CA má název adresa omezení URI nebo IP, a konec certifikát nemá název IP adresy nebo URI sadu
• libgnutls:. nastavit a přečtěte si nápovědu v DHE-PSK a ECDHE-PSK ciphersuites
• p11tool:. Přidána --list-token-urls volba, a tisknout tokenu název modulu v seznamu-tokeny
• modifikace API a ABI:
• gnutls_ecc_curve_get_oid: Přidána
• gnutls_digest_get_oid: Přidána
• gnutls_pk_get_oid: Přidána
• gnutls_sign_get_oid: Přidána
• gnutls_ecc_curve_get_id: Přidána
• gnutls_oid_to_digest: Přidána
• gnutls_oid_to_pk: Přidána
• gnutls_oid_to_sign: Přidána
• gnutls_oid_to_ecc_curve: Přidána
• gnutls_pkcs7_get_signature_count: Přidána

Co je nového ve verzi 3.4.1:

• libgnutls: Zkontrolujte, zda je neplatné délky v X. 509 verze pole. Bez kontrolních listů s neplatnou délkou by být detekovány jak mít libovolnou verzi. Zpracoval Hanno Bock.
• libgnutls: Při manipulaci DNS názvů omezení s předním tečkou. Patch by Fotis Loukos.
• libgnutls: Aktualizované system-klíče podpora pro Windows sestavit ve více verzích MinGW. Patch Tim Kosse.
• libgnutls: Oprava pro MD5 downgrade na TLS 1.2 podpisů. Zpracoval Karthikeyan Bhargavan [GnuTLS-SA-2015-2].
• libgnutls: vráceny: gnutls_handshake (), proces bude vynutit časový limit ve výchozím nastavení. To způsobilo problémy s non-blokování programů.
• certtool:. To může vytvářet klíčové identifikátory sha256
• GnuTLS-CLI: opraven pád v --benchmark-šifer. Hlášeny James CLOOS.
• configure: re-umožnil --enable-local-libopts vlajkou
• API a ABI úpravy: gnutls_x509_crt_get_pk_ecc_raw: Přidána

Co je nového ve verzi 3.3.12:

• libgnutls: Při sjednávání TLS používat nejnižší povolenou verzi v klientovi ahoj, spíše než nejnižší podporovány. Kromě toho, nepoužívejte SSL 3.0 jako verze v rekordním vrstvě TLS, není-li SSL 3.0 je pouze protokol podporován. To řeší problémy s servery, které okamžitě upustit připojení, když setkání SSL 3.0 jako číslo verze záznamu. Viz: http://lists.gnutls.org/pipermail/gnutls-help/2014-November/003673.html
• libgnutls:. Opravené kódování a dekódování parametrů ANSI X9.62
• libgnutls: Při manipulaci nulovou délkou holý text pro funkce VIA visacím zámkem. To řeší potenciální pád na šifrování AES pro malé velikosti prostého textu. Patch by Matthias-Christian Ott.
• libgnutls: V DTLS nemají kombinovat více paketů, které překračují MTU. Hlášeny Andreas Schultz. https://savannah.gnu.org/support/?108715
• libgnutls: V DTLS dekódovat všechny handshake pakety, které jsou ve rekordním paketu, v jediném průchodu. Hlášeny Andreas Schultz. https://savannah.gnu.org/support/?108712
• libgnutls:. Při importu souboru CA s PKCS # 11 URL, jednoduše importovat certifikáty, pokud URL specifikuje objekty, spíše než brát to jako důvěra modulu
• libgnutls:. Při importu PKCS # 11 URL a víme, typ objektu, jsme dovozu, nevyžadují typ objektu v URL
• libgnutls:. pevné ověřování OpenPGP, kdy byl gnutls_certificate_set_retrieve_function2 používá server
• lsti: Fix kompilace na MinGW. Dříve pouze statické verze "lstivosti-GnuTLS-V-2" knihovna by být postavena, brání jejich dynamickou zátěž z Guile.
• lsti:. Fix neškodný varování při sestavování gnutls.scm původně vykázaného v
• certtool:. --pubkey-info se také pokusí načíst veřejný klíč ze standardního vstupu
• GnuTLS-CLI: Přidána možnost --starttls-Proto. To umožňuje specifikovat protokol pro STARTTLS vyjednávání.
• API a ABI úpravy:. od poslední verze Žádné změny

Co je nového ve verzi 3.2.9:

• libgnutls: Volba% DUMBFW pouze prioritní řetězci připojí data na klienta, ahoj, pokud byl očekávaný velikost je v & quot; černé díry & quot; sortiment.
• libgnutls:% compat implikuje% DUMBFW
.
• libgnutls:. gnutls_session_get_desc () vrátí více kompaktní popis ciphersuite
• libgnutls: V PKCS # 11 umožňují mazání více dat než certifikátu
.
• libgnutls: Je-li zadán PKCS # 11 trust obchod (např pomocí volby configure --with-default-trust-store-PKCS11), pak se PKCS # 11 žeton se používá na požádání k získání důvěryhodných kotvy, spíše než preloading všechny důvěryhodné certifikáty. Že vedení delegáti CA Certifikát a černá listina kontrola na PKCS # 11 modulu.
• libgnutls: Když je PKCS # 11 obchod důvěra je uvedeno v configure volbu nebo gnutls_x509_trust_list_add_trust_file (), pak je modul slouží k získání ověřování kotvy a všechny požadované blacklistů jako v http://p11-glue.freedesktop.org /doc/storing-trust-policy/storing-trust-pkcs11.html
• libgnutls: Oprava v prodloužení stavu certifikátu OCSP manipulaci v non-blokování serverů. Patch Nils Maier.
• p11tool:. Přidána -SO-přihlášení možnost vynutit přihlášení jako bezpečnostní důstojník (admin)

Co je nového ve verzi 3.2.8:

• libgnutls: Aktualizovaný kód AES-NI. To brání neinicializované proměnné stížnost valgrind.
• libgnutls:. Vynutit maximální velikost pro DH připraví
• libgnutls: Přidáno SSSE3 optimalizovaný SHA1 a SHA256, pomocí Andy Polyakov je kód
.
• libgnutls: Přidána SSSE3 optimalizovaný AES pomocí kódu Mike Hamburku
.
• libgnutls: Je to jen odkazy na librt, pokud požadované funkce nejsou přítomny v libc. To také zabraňuje nepřímý propojení na libpthread.
• libgnutls: Oprava problému s výměnou gnulib strerror přidáním strerror gnulib modul
.
• libgnutls: Čas uvedeny v TLS náhodných hodnot je přesná pouze na své první 3 bajtů. To zabraňuje úniku přesného systémového času (alespoň na straně klienta, pokud jsou jen pár spoje provedené na jednom serveru).
• certtool:. --verify volba bude používat systém CAS, pokud je volba zatížení-ca-Certifikát není součástí
• configure:. Přidána možnost --with-default-blacklist-soubor umožnit zadávání souboru certifikátu blacklist
• configure: Přidána možnost --disable-non-suiteb-křivky. Tato možnost omezuje podporované křivky SuiteB křivek.
• modifikace API a ABI: gnutls_record_check_corked: Přidána

Co je nového ve verzi 3.2.7:

• Několik vylepšení v manipulaci čipových karet, při manipulaci v pre-DTLS-1.0 protokolu používaného v OpenConnect a záznam dekompresi.
• Byla přidána podpora pro psaní & quot; ne dobře definovaná & quot; Datum ukončení platnosti v certifikátech.

Co je nového ve verzi 3.2.6:

• libgnutls: Podpora TPM přes kalhoty je nyní povolena ve výchozím nastavení.
• libgnutls:. Camellia v režimu GCM byla přidána do výchozích priorit, a režim GCM je přednost před CBC ve všech výchozí prioritních řetězce
• libgnutls:. Přidána ciphersuite GNUTLS_ECDHE_RSA_AES_256_CBC_SHA384
• libgnutls: Pevné ciphersuites GNUTLS_ECDHE_ECDSA_CAMELLIA_256_CBC_SHA384, GNUTLS_ECDHE_RSA_CAMELLIA_256_CBC_SHA384 a GNUTLS_PSK_CAMELLIA_128_GCM_SHA256. Hlášeny Stefan Buehler.
• libgnutls:. Byla přidána podpora pro ISO OID pro RSA-SHA1 podpisy
• libgnutls:. Minimální parametry skupinové přijatelné DH byla zvýšena na 767 bitů z 727
• libgnutls: Přidána funkce získat náhodná data z PKCS # 11 tokeny. Přispěl Wolfgang Meyer zu Bergsten.
• gnulib:. aktualizováno
• libdane: Opravena jednorázovou chybu v dane_query_tlsa (), zavedený předchozí opravu. Hlášeny Tomáše Mráze.
• p11tool:. Přidána možnost generovat-random
• API a ABI úpravy: gnutls_pkcs11_token_get_random: Přidána

Co je nového ve verzi 3.2.5:

• Tato verze přidány nové ciphersuites s Camellia, SHA2- 256, a SHA2-384.
• přetečení bufferu v knihovně DANE byl opraven a několik drobných vylepšení byla provedena.

Co je nového ve verzi 3.2.4:

• Tato verze přidává RSA-PSK klíč metoda výměny .
• má opravy v manipulaci vstupenek sezení a in serveru manipulaci žádosti o certifikát, stejně jako jiné drobné opravy a aktualizace.

Co je nového ve verzi 3.2.3:

• Tato verze opravuje chyby související s TLS paketu analýze a Prioritou řetězec parsování.

Co je nového ve verzi 3.2.2:

• Několik optimalizací vztahující se k zpracování paketů subsystémů a vylepšení na podporu DTLS v rámci jiných vrstvách dopravy než UDP.
• Několik drobných oprav.