Proponha uma correção, faça uma sugestão
OpenBSD cria um fork do OpenSSL com o nome LibreSSL
Foi no passado dia 8 de Abril que o mundo da tecnologia foi abalado por um bug grave, que dá pelo nome Heartbleed e que afectou a popular biblioteca criptográfica OpenSSL. Uma vez que a maioria da segurança da Internet assenta no SSL é importantíssimo que se actualize o OpenSSL, uma vez que, caso esta falha seja explorada, é possível obter informação sensível, como por exemplo as passwords dos utilizadores.
A par do anuncio deste bug, e sem perder tempo, a comunidade OpenBSD criou um fork do OpenSSL ao qual deu o nome de LibreSSL.
O SSL é um protocolo criptográfico baseado em cifras assimétricas (chave privada + chave publica) que tem como principal objectivo providenciar segurança e integridade dos dados transmitidos em redes inseguras como é o caso da Internet. Quando um utilizador acede a um site que recorre ao SSL, o servidor envia ao cliente a chave publica para que esta possa cifrar a informação que vai ser passada ao servidor. Quando o servidor recebe essa informação, usa a sua chave privada para decifrar a informação transmitida pelo cliente.
Existem várias aplicações para este protocolo, como por exemplo o comércio electrónico, servidores Web, servidores FTP, VPNs, etc. Para identificar facilmente se estão a visualizar um site seguro basta verificar no URL que em vez de estar o normal http:// se encontra https://. Saber mais aqui.
Bug Heartbleed
O Bug Heartbleed é uma vulnerabilidade grave que afecta a popular biblioteca criptográfica OpenSSL. Explorando este bug, é possível ler até 64 KB de informação de informação numa sessão SSL/TLS. No entanto, os 64 KB não é o limite de informação que pode ser lida já que o atacante pode restabelecer a ligação, várias vezes, durante uma sessão TLS activa, obtendo assim vários “pedaços” de 64 KB de informação, comprometendo a chave privada, usada para decifrar toda a informação (ex.passwords). Pode saber mais sobre o Heartbleed aqui. Saiba também se o seu Android está protegido – ver aqui.
LibreSSL – O “novo” OpenSSL
O bug “Heartbleed“ tem sido um dos temas mais polémicos que tem ocupado todos os espaços de discussão da Internet.Theo de Raadt lider do projecto OpenBSD tem sido uma das vozes mais fortes contra este bug. Raadt acusou mesmo os programadores da OpenSSL de irresponsáveis e aproveitou para anunciar uma alternativa…o LibreSSL.
Como seria de esperar, o LibreSSL tem como principal premissa a segurança, prometendo ser mais seguro que o actual OpenSSL. Segundo a equipa de desenvolvimento, a API não vai mudar, mas a maioria do código vai sofrer alterações já que este poder ser bastante melhorado.
No site do projecto é já possível encontrar muita informação e os responsáveis referem mesmo que neste momento estão ocupados em apagar e rescrever código, e só posteriormente criarão uma web page decente.
Homepage: LibreSSL
Este artigo tem mais de um ano
Loading ...
já se estava a ver que iriam surgir pessoas indignadas, com a forma como tudo aconteceu…
Ainda por cima quando a equipa do openssl se gabava de serem experts em segurança e criticavam por tudo e por nada o projecto gnutls…foi-se a ver e afinal, foram uns incompetentes…
Parece que quem se mudou a tempo para outros softwares fez uma boa escolha…
O gnutls, tem o seu código muito “arranjadinho”, é muito fácil trabalhar nele…o openssl é uma desgraça…
Quem vai ganhar é o utilizador final…que vai ficar com mais uma opção…gostava era de ver os browser’s a dar a hitpotse ao utilizador final para que este pudesse escolher a suite que mais lhe agrada, ou na que mais confia…
Culpar os browser é uma barbaridade, e dizer que nem dão opção de escolha é outra.
ninguém culpou os browsers…mas a verdade é que penso que não exista grande opção de escolha…sem ser mudar do browser A para o B…
Continua a ser barbaridade e sem fazer sentido, tendo em conta que quase todos os browsers do mercado têm opções que ajudam nestes casos do SSL.
podes especificar essas opções?
http://googlechrometutorial.com/google-chrome-advanced-settings/Google-chrome-ssl-settings.html
Enfim.
@ Jose
O que mostras não é a possibilidade de mudar de biblioteca TLS/SSL, que é o que lmx estava a falar
José…
barbaridade é o que você apregoa 😀
Então eu estou-lhe a falar de não ter varias suites de ssl para escolha(gnutls,openssl,etc,etc)…
E você responde-me dizendo que o que estou a dizer é uma barbaridade…e que elas existem…
E depois mostra opções de configuração no browser…mas usando sempre a mesma suite ssl…apenas protocolos diferentes???!!!
você é um brincalhão…
Nunes…
É isso mesmo a possibilidade de poder usar outra suite. 😉
Até para os browsers era uma forma de se defenderem…
imaginando uma situação catastrófica…que não é tão distante assim(heartbleed), o utilizador poderia rapidamente do seu lado mudar a suite…o que não acontece neste momento…
Será que disse alguma coisa tão desajustada assim??
@ lmx
creio que não é uma coisa assim tão fácil. Imagino que cada biblioteca necessite de APIs próprias, de modo que a aplicação terá que à partida estar adaptada para essas APIs. Se mudar a biblioteca, pode quebrar a compatibilidade!
Nunes…
Sim deve ter que existir API’s bem definidas e suportadas…
Uma hipotse seria a criação de uma shared librarie por exemplo com uma API genérica e esta chamava depois a que se iria utilizar….
desta forma poderíamos utilizar as suites suportadas pela shared librarie…e sempre de uma forma coerente…
Para o firefox passaria a ser um processo transparente, sendo que ele faria sempre chamas do mesmo tipo há shared librarie e esta decidiria depois qual a implementação a chamar 😉
Digo shared librarie, com licença lgpl, para poder interligar com as diversas licenças das diversas suites de criptografia…
Mas concordo que este processo trás mais complexidade, e se as coisas não forem bem feitas iria “quebrar” a segurança…
Mas já estava mais do que na altura de vermos isto implementado nos browsers…para o utilizador final era óptimo, porque em caso de bug grave numa, tinha a opção de mudar para outra…e para as suites também, porque oferecia uma solução rápida a falhas de segurança, e sendo sempre o utilizador a controlar a coisa 😉
Acrescento só uma curiosidade, segundo o Theo de Raadt, o código atual do OpenSSL está uma confusão total e só na primeira semana limparam cerca de metade de nós principais na árvore de código do OpenSSL, originando então o fork LibreSSL.
Isto diz muito do que para lá vai, “nem deve ser bom”.
hehehe,
era já um problema conhecido…
Isso e as licenças, levaram a que o GNUTLS fosse criado…
Agora isso e este bug, levou a que fosse criado esta versão…que começou por ser um fork, mas parece que teem feito bastantes progressos…
Quem já viu o projeto gnu dar uma mancada dessa, isso é uma prova de que não existe nada seguro!Por isso faço questão de usar coisas de confianças por isso uso o OpenBSD,ele é simples e robusto mas seguro,este libressl pode fazer sucesso por que normalmente quem usa OpenBSD são sabe o que faz!O libressl desde que mostre competência será um sucesso
Acredito que seja uma boa solução 😉
Não acredito que seja melhor que o GNUTLS, mas também não deve ser pior…
Gostava de ver as comunidades a trabalhar juntamente no GNUTLS, por este já existir há muito mais tempo, e ter bastante rigor no seu código..
Mas o mundo BSD não gosta muito das licenças gpl, e por isso parece que andam de costas voltadas, mas podiam conjugar esforços…
De qualquer forma, quem fica a ganhar é o utilizador que ganha mais uma suite de criptografia como escolha, e nesse aspecto ainda bem que o openbsd vai avançar para o libressl 😉
Eu acho que vai ter sucesso sim, e com o tempo acho que o gnutls e o libressl podem se sobrepor ao openssl que parece estar uma desgraça.
Gostei de carregar no link “OpenSSL” no site deles 😀
We’re not gonna take it anymore !!!