GnuTLS

GnuTLS ist ein Open Source und vollständig freie Software-Projekt, das einen Transport Layer Security (TLS) Bibliothek für GNU / Linux-Betriebssysteme entwickeln soll. Es bietet eine sichere Schicht, über einen zuverlässigen Transportschicht, die Umsetzung der von der IETF-TLS-Arbeitsgruppe vorgeschlagenen Standards.

Das Projekt bietet Unterstützung für eine breite Palette von Sicherheitsprotokollen, einschließlich der Unterstützung von Transport Layer Security (TLS 1.2, TLS 1.1, TLS 1.0), die Unterstützung für Secure Sockets Layer (SSL 3.0) und Unterstützung für die Datagram TLS-Protokoll.

Darüber hinaus bietet das GnuTLS Software-Unterstützung für die Authentifizierung unter Verwendung von sowohl X.509 und OpenPGP-Zertifikate sowie Unterstützung für Schlüssel und Passwort-Authentifizierung Methoden, wie PSK (Phase-Shift Keying) und SRP (Secure Remote Password) Protokolle .

Außerdem, zusätzlich zu DSA und RSA unterstützt das Projekt elliptischen Kurven stellt OCSP (Online Certificate Status Protocol) Unterstützung, CPU-unterstützten Kryptographie-Unterstützung mit AES-NI und VIA PadLock-Befehlssätze, die Unterstützung für Verschlüsselungsbeschleuniger Treiber über / dev / crypto.

Darüber hinaus bietet GnuTLS native Unterstützung für kryptographische Tokens, wie Smart-Cards, über PKCS # 11, bietet native Unterstützung für das Trusted Platform Module (TPM), sowie die Unterstützung für all die starke Verschlüsselungsalgorithmen, darunter Kamelie und AES.

GnuTLS wurde erfolgreich auf einer breiten Palette von Linux-Kernel-basierten Betriebssystemen getestet. Die Tatsache der Angelegenheit ist, dass es & rsquo; s. Mit allen GNU / Linux-Betriebssystemen kompatibel und läuft auf Computern unterstützt eine der 32 oder 64-Bit-Befehlssatzarchitekturen

Die Software ist auf allen gängigen Distributionen von GNU / Linux, installiert von der offiziellen Software-Repositories. Die neueste Version von GnuTLS kann immer von Softoware oder über seiner offiziellen Website heruntergeladen werden (siehe die Homepage Link unten), als ein universelles Quellpaket.

Was ist neu in dieser Pressemitteilung:

• libgnutls: Folgen eng RFC5280 Empfehlungen und nutzen UTCTime für Datumsangaben vor 2050
.
• libgnutls:. Kraft 16-Byte-Ausrichtung für alle Eingabe in Chiffren (vorher war es nur gemacht, wenn cryptodev wurde aktiviert)
• libgnutls:. Entfernte Unterstützung für pthread_atfork (), wie es die Semantik nicht definiert, wenn sie mit dlopen () verwendet werden, und kann zu einem Absturz führen
• libgnutls:. korrigiert Ausfall beim Importieren von Dateien mit Klar gnutls_x509_privkey_import2 () und ein Passwort zur Verfügung gestellt wurde,
• libgnutls:. Zertifikate verwerfen Sie nicht, wenn ein CA hat die URI oder IP-Adresse Namenseinschränkungen, und das Ende Zertifikat nicht eine IP-Adresse den Namen oder einen URI gesetzt haben
• libgnutls:. gesetzt und lesen Sie den Hinweis in DHE-PSK und ECDHE-PSK Verschlüsselungssammlungen
• p11tool:. Hinzugefügt --list-token-URLs Option, und drucken Sie die Token-Modul-Namen in der Liste-Token
• API und ABI Änderungen:
• gnutls_ecc_curve_get_oid: Added
• gnutls_digest_get_oid: Added
• gnutls_pk_get_oid: Added
• gnutls_sign_get_oid: Added
• gnutls_ecc_curve_get_id: Added
• gnutls_oid_to_digest: Added
• gnutls_oid_to_pk: Added
• gnutls_oid_to_sign: Added
• gnutls_oid_to_ecc_curve: Added
• gnutls_pkcs7_get_signature_count: Added

Was ist neu in der Version 3.4.1:

• libgnutls: ungültige Länge in der X. Prüfen 509 Versionsfeld. Ohne den Check-Zertifikate mit ungültiger Länge würde als mit einer beliebigen Version erkannt werden. Von Hanno Bock berichtet.
• libgnutls: Handle DNS-Namenseinschränkungen mit einem führenden Punkt. Patch von Fotis Loukos.
• libgnutls: Aktualisiert System-Schlüssel-Unterstützung für Windows, in mehr Versionen von MinGW zu kompilieren. Patch von Tim Kosse.
• libgnutls: Fix für MD5 Herabstufung in TLS 1.2 Signaturen. Von Karthikeyan Bhargavan [GNUTLS-SA-2015-2] berichtet.
• libgnutls: zurückgekehrt: Der Prozess gnutls_handshake () wird ein Zeitlimit standardmäßig durchzusetzen. Das verursacht Probleme mit nicht-blockierenden Programme.
• certtool:. Es kann SHA256 Schlüssel IDs erzeugen
• gnutls-cli: Festabsturz in --benchmark-Chiffren. Von James Cloos wiesen.
• configure: re-aktiviert die Option --enable-local-libopts Fahne
• API und ABI Änderungen: gnutls_x509_crt_get_pk_ecc_raw: Added

Was ist neu in Version 3.3.12:

• libgnutls: Bei Verhandlungen TLS verwenden Sie die niedrigste fähige Version in dem Client-Hallo, anstatt die niedrigste unterstützt. Darüber hinaus SSL 3.0 verwenden Sie als eine Version in der TLS-Aufzeichnungsschicht, es sei denn, SSL 3.0 ist das einzige Protokoll unterstützt. Das behebt Probleme mit Servern, die sofort fallen die Verbindung, wenn die Begegnung SSL 3.0 als Datensatzversionsnummer. Siehe: http://lists.gnutls.org/pipermail/gnutls-help/2014-November/003673.html
• libgnutls:. Korrigierte Codierung und Decodierung von ANSI X9.62 Parameter
• libgnutls: Handle Länge Null Klartext für die VIA PadLock-Funktionen. Dies löst einen potenziellen Absturz auf AES-Verschlüsselung für kleine Klartext. Patch von Matthias-Christian Ott.
• libgnutls: In DTLS nicht mehrere Pakete, die MTU überschreiten, zu kombinieren. Von Andreas Schultz berichtet. https://savannah.gnu.org/support/?108715
• libgnutls: In DTLS dekodieren alle Handshake-Pakete in einem Plattenpaket vorhanden ist, in einem einzigen Durchgang. Von Andreas Schultz berichtet. https://savannah.gnu.org/support/?108712
• libgnutls:. Beim Importieren eines CA-Datei mit einer PKCS # 11-URL, einfach die Zertifikate zu importieren, wenn die URL gibt Objekte, anstatt behandeln Sie es als Vertrauens Modul
• libgnutls:. Beim Importieren einer PKCS # 11-URL und wir wissen, dass die Art des Objekts wir importieren, nicht den Objekttyp in der URL erforderlich
• libgnutls:. feste OpenPGP-Authentifizierung, wenn gnutls_certificate_set_retrieve_function2 wurde vom Server verwendet
• Falsch: Fix Kompilierung auf MinGW. Bisher nur die statische Version der "guile-gnutls-v-2 'Bibliothek gebaut werden würde, verhindert das dynamische Laden von Guile.
• Falsch. Fix harmlose Warnung beim Übersetzen gnutls.scm Ursprünglich bei gemeldet
• certtool:. --pubkey-info wird auch versuchen, einen öffentlichen Schlüssel von der Standardeingabe zu laden
• gnutls-cli: Hinzugefügt --starttls-proto-Option. Das erlaubt es, ein Protokoll für starttls Verhandlungen festzulegen.
• API und ABI Änderungen:. Keine Änderungen seit der letzten Version

Was ist neu in der Version 3.2.9:

• libgnutls: Die% DUMBFW Option einzige Priorität String fügt Daten an Client hallo, wenn die erwartete Größe ist in der & quot; Schwarzes Loch & rdquo; Bereich.
• libgnutls:% COMPAT impliziert% DUMBFW
.
• libgnutls:. gnutls_session_get_desc () gibt eine kompaktere ciphersuite Beschreibung
• libgnutls: In PKCS # 11 erlauben Löschen mehrerer nicht-Zertifikatsdaten
.
• libgnutls: Wenn eine PKCS # 11 Vertrauensspeicher angegeben wird (zB mit Hilfe der Konfigurationsoption --with-default-Vertrauens-store-pkcs11), dann die PKCS # 11-Token wird bei Bedarf verwendet werden, die vertrauenswürdig Anker zu erhalten, und nicht als Vorbelastung alle vertrauenswürdige Zertifikate. Dass die Delegierten CA-Zertifikat-Management und Blacklist-Überprüfung an das Modul PKCS # 11.
• libgnutls: Wenn eine PKCS # 11 Vertrauensspeicher wird in configure-Option oder in gnutls_x509_trust_list_add_trust_file () angegeben ist, wird das Modul wird verwendet, um die Überprüfungs Anker und alle erforderlichen Blacklists wie in http://p11-glue.freedesktop.org erhalten /doc/storing-trust-policy/storing-trust-pkcs11.html
• libgnutls: Fix in die OCSP-Zertifikatsstatus Erweiterungsbehandlung in nicht-blockierenden Servern. Patch von Nils Maier.
• p11tool:. Hinzugefügt -SO-Login Option, melden Sie sich als Security Officer (admin) zu erzwingen

Was ist neu in der Version 3.2.8:

• libgnutls: Aktualisiert Code für AES-NI. Das verhindert, dass eine nicht initialisierte Variable Beschwerde valgrind.
• libgnutls:. Erzwingen Sie eine maximale Größe für DH Primzahlen
• libgnutls: Added SSSE3 optimiert SHA1 und SHA256, mit Andy Polyakov den Code
.
• libgnutls: Added SSSE3 optimierte AES mit Mike Hamburger Code
.
• libgnutls: Es nur Links zu librt, wenn die erforderlichen Funktionen in libc nicht vorhanden sind. Dies verhindert auch eine indirekte Verknüpfung mit libpthread.
• libgnutls: Problem mit gnulib strerror Ersatz durch Hinzufügen der strerror gnulib Modul
.
• libgnutls: Die Zeit, in der TLS Zufallswerten versehen nur präzise auf seiner ersten 3 Bytes. Daß eine Leckage von der genauen Systemzeit (zumindest auf der Client-Seite, wenn nur wenige Verbindungen auf einem einzigen Server erfolgt).
• certtool:. Die --verify Option werden die System CAs verwenden, wenn die Last-ca-Zertifikat Option nicht vorgesehen ist
• configure:. Hinzugefügt Option --with-default-Blacklist-Datei, damit die Angabe eines Zertifikats Blacklist-Datei
• configure: Neue Option --disable-nicht-SuiteB-Kurven. Diese Option schränkt die unterstützten Kurven SuiteB Kurven.
• API und ABI Änderungen: gnutls_record_check_corked: Added

Was ist neu in der Version 3.2.7:

• Mehrere Verbesserungen in der Smart-Card-Handling, bei der Handhabung der in Openconnect verwendet Pre-DTLS-1.0-Protokoll, und notieren Dekompression.
• Unterstützung für das Schreiben hinzugefügt wurde die & rdquo; nicht gut definiert & quot; Ablaufdatum in Zertifikate.

Was ist neu in der Version 3.2.6:

• libgnutls: Unterstützung für TPM via Hose ist nun aktiviert standardmäßig aktiviert.
• libgnutls:. Camellia in GCM-Modus wurde in Standardprioritäten aufgenommen worden und GCM-Modus wird über CBC in allen Standard-Priorität Saiten priorisiert
• libgnutls:. Hinzugefügt ciphersuite GNUTLS_ECDHE_RSA_AES_256_CBC_SHA384
• libgnutls: Fest ciphersuites GNUTLS_ECDHE_ECDSA_CAMELLIA_256_CBC_SHA384, GNUTLS_ECDHE_RSA_CAMELLIA_256_CBC_SHA384 und GNUTLS_PSK_CAMELLIA_128_GCM_SHA256. Von Stefan Bühler berichtet.
• libgnutls:. Zusätzliche Unterstützung für ISO OID für RSA-SHA1 Signaturen
• libgnutls:. Mindest akzeptabel DH-Gruppe Parameter wurden auf 767 Bits von 727 erhöhte
• libgnutls: Hinzugefügt Funktion, um zufällige Daten aus PKCS # 11-Token zu erhalten. Von Wolfgang Meyer zu Bergsten beigetragen.
• gnulib:. aktualisiert
• libdane: ein einmaliger Fehler in dane_query_tlsa () von der vorherigen fix eingeführt wurde behoben. Von Tomas Mraz wiesen.
• p11tool:. Neue Option generate-Zufalls
• API und ABI Änderungen: gnutls_pkcs11_token_get_random: Added

Was ist neu in der Version 3.2.5:

• Diese Version hat neue ciphersuites mit Camellia, SHA2- 256 und SHA2-384.
• Ein Pufferüberlauf in der DANE Bibliothek wurde korrigiert und einige kleinere Verbesserungen vorgenommen wurden.

Was ist neu in der Version 3.2.4:

• Diese Version fügt der Schlüsselaustauschmethode RSA-PSK .
• Es hat Fixes in Sitzungsticket Handhabung und im Serverzertifikatsanforderung Handhabung, sowie weitere kleinere Korrekturen und Updates.

Was ist neu in der Version 3.2.3:

• Diese Version behebt Bugs TLS Paketanalyse und verwandte Priorität Zeichenfolgenanalyse.

Was ist neu in der Version 3.2.2:

• Mehrere Optimierungen, um Paketverarbeitungsteilsysteme und Zubehör, für die Unterstützung der DTLS unter anderen Transportschichten als UDP.
• Mehrere kleine Korrekturen.