GnuTLS

GnuTLS est une source ouverte et le projet de logiciel totalement gratuit qui vise à développer un Transport Layer Security (TLS) bibliothèque pour les systèmes d'exploitation GNU / Linux. Il fournit une couche sécurisée, sur une couche de transport fiable, la mise en œuvre des normes proposées par le groupe de travail de l'IETF TLS.

Le projet offre un support pour une large gamme de protocoles de sécurité, y compris le soutien pour Transport Layer Security (TLS 1.2, TLS 1.1, TLS 1.0), le soutien à Secure Sockets Layer (SSL 3.0), et le soutien pour le protocole Datagram TLS.

En outre, le logiciel GnuTLS fournit un support pour l'authentification utilisant à la fois X.509 et certificats OpenPGP, ainsi que le soutien pour les méthodes d'authentification par clé et mot de passe, comme PSK (de déplacement de phase) et SRP (Secure Remote Password) protocoles .

En outre, en plus de DSA et RSA, le projet appuie les courbes elliptiques, fournit OCSP (Online Certificate Status Protocol), prise en charge de la cryptographie assisté CPU avec AES-NI et VIA jeux d'instructions de cadenas, de soutien pour les pilotes des accélérateurs cryptographiques via / dev / crypto.

En outre, GnuTLS fournit un support natif pour les jetons cryptographiques, tels que les cartes à puce, via PKCS # 11, offre un support natif pour le Trusted Platform Module (TPM), ainsi que le soutien pour tous les algorithmes de chiffrement fort, y compris Camellia et AES.

GnuTLS a été testé avec succès sur un large éventail de systèmes d'exploitation basés sur le noyau Linux. Le fait de la question est qu'il & rsquo;. S compatible avec tous les systèmes d'exploitation GNU / Linux et fonctionne sur des ordinateurs de soutien ou l'autre des 32 ou 64 bits du jeu d'instructions architectures

Le logiciel est disponible sur toutes les principales distributions de GNU / Linux, installable de leurs référentiels de logiciels officielles. La dernière version de GnuTLS peut toujours être téléchargé à partir Softoware ou via son site officiel (voir le lien de la page d'accueil ci-dessous), comme un paquet de source universelle.

Ce qui est nouveau dans cette version:

• libgnutls: Suivez de près les recommandations RFC5280 et utiliser UTCTime pour les dates avant 2050
.
• libgnutls:. forcer l'alignement 16 octets toutes les suggestions de chiffres (auparavant, il a été fait seulement quand cryptodev a été activé)
• libgnutls:. charge supprimée pour pthread_atfork () comme il l'a définie la sémantique lorsqu'il est utilisé avec dlopen (), et peut conduire à un crash
• libgnutls:. corrigée échec lors de l'importation de fichiers simples avec gnutls_x509_privkey_import2 (), et un mot de passe a été fourni
• libgnutls:. Ne pas rejeter certificats si un CA a le nom d'adresse contraintes URI ou IP, et le certificat de fin n'a pas un nom d'adresse IP ou un ensemble URI
• libgnutls:. définir et lire le soupçon en DHE-PSK et ECDHE-PSK ciphersuites
• p11tool:. Ajouté --list-urls-jeton option et imprimer le nom du module jeton dans la liste-jetons
• API et ABI modifications:
• gnutls_ecc_curve_get_oid: Ajouté
• gnutls_digest_get_oid: Ajouté
• gnutls_pk_get_oid: Ajouté
• gnutls_sign_get_oid: Ajouté
• gnutls_ecc_curve_get_id: Ajouté
• gnutls_oid_to_digest: Ajouté
• gnutls_oid_to_pk: Ajouté
• gnutls_oid_to_sign: Ajouté
• gnutls_oid_to_ecc_curve: Ajouté
• gnutls_pkcs7_get_signature_count: Ajouté

Quoi de neuf dans la version 3.4.1:

• libgnutls: Vérifier longueur non valide dans le X. 509 champ de version. Sans les certificats de contrôle de longueur non valide serait détecté comme ayant un numéro de version. Rapporté par Hanno Bock.
• libgnutls: Poignée de noms DNS contraintes avec un point d'attaque. Patch par Fotis Loukos.
• libgnutls: system-clés mises à jour le support de Windows pour compiler dans plusieurs versions de MinGW. Patch par Tim Kosse.
• libgnutls: Correction pour MD5 downgrade dans TLS 1.2 signatures. Rapporté par Karthikeyan Bhargavan [GNUTLS-SA-2015-2].
• libgnutls: Reconverti Le processus gnutls_handshake () fera respecter un délai d'attente par défaut. Cela a causé des problèmes avec les programmes non-bloquant.
• certtool:. Il peut générer des ID clés SHA256
• gnutls-cli: crash dans --benchmark-chiffres. Rapporté par James Cloos.
• configure: ré-activé l'option --enable-local-libopts
• API et ABI modifications: gnutls_x509_crt_get_pk_ecc_raw: Ajouté

Ce qui est nouveau dans la version 3.3.12:

• libgnutls: Lors de la négociation TLS utiliser la version la plus faible permis dans le client bonjour, plutôt que la plus faible charge. En outre, ne pas utiliser SSL 3.0 comme une version dans la couche d'enregistrement TLS, à moins que SSL 3.0 est le seul protocole pris en charge. Qui traite des questions avec des serveurs qui tombent immédiatement la connexion lorsque la rencontre SSL 3.0 que le numéro de version d'enregistrement. Voir: http://lists.gnutls.org/pipermail/gnutls-help/2014-November/003673.html
• libgnutls:. Correction encodage et le décodage des paramètres ANSI X9.62
• libgnutls: Manipuler longueur zéro clair pour les fonctions VIA PadLock. Cela résout un crash potentiel sur le cryptage AES pour la petite taille de texte en clair. Patch par Matthias-Christian Ott.
• libgnutls: En DTLS ne se combinent pas plusieurs paquets qui dépassent MTU. Rapporté par Andreas Schultz. https://savannah.gnu.org/support/?108715
• libgnutls: En DTLS décoder tous les paquets de négociation présents dans un paquet de dossiers, en un seul passage. Rapporté par Andreas Schultz. https://savannah.gnu.org/support/?108712
• libgnutls:. Lors de l'importation d'un fichier de CA avec un PKCS # 11 URL, il suffit d'importer les certificats, si l'URL précise des objets, plutôt que de traiter comme module de confiance
• libgnutls:. Lorsque vous importez un PKCS # 11 URL et nous savons le type d'objet que nous importons, ne nécessitent pas le type d'objet dans l'URL
• libgnutls:. l'authentification OpenPGP fixe lorsque gnutls_certificate_set_retrieve_function2 a été utilisé par le serveur
• ruse: Fixer compilation sur MinGW. Auparavant, seul la version statique des «guile-gnutls-v-2 'bibliothèque serait construit, empêchant le chargement dynamique de Guile.
• trompeuses. Fixer avertissement inoffensive lors de la compilation des gnutls.scm Initialement rapporté à
• certtool:. --pubkey-info tentera également de charger une clé publique à partir de stdin
• gnutls-CLI: Ajout d'une option --starttls-proto. Cela permet de spécifier un protocole de négociation des starttls.
• API et ABI: les modifications. Aucun changement depuis la dernière version

Ce qui est nouveau dans la version 3.2.9:

• libgnutls: L'option% de DUMBFW dans la chaîne de priorité seulement ajoute des données au client bonjour si la taille attendue est dans le & quot; trou noir & quot; gamme.
• libgnutls:% COMPAT implique% DUMBFW
.
• libgnutls:. gnutls_session_get_desc () retourne une description de ciphersuite plus compact
• libgnutls: PKCS # 11 permettent la suppression de plusieurs données non certificats
.
• libgnutls: Quand un PKCS # magasin 11 trust est utilisée (par exemple, en utilisant l'option --with-confiance-store-pkcs11 défaut), alors le jeton PKCS # 11 est utilisé à la demande pour obtenir les ancres de confiance, plutôt que tous les certificats de confiance préchargement. Que la gestion délégués de certificat CA et la liste noire de vérifier pour le module PKCS # 11.
• libgnutls: Quand un # 11 magasin de confiance de PKCS est spécifié dans l'option de configuration ou dans gnutls_x509_trust_list_add_trust_file (), alors le module est utilisé pour obtenir les ancres de vérification des listes noires et nécessaires que dans http://p11-glue.freedesktop.org /doc/storing-trust-policy/storing-trust-pkcs11.html
• libgnutls: Fixer statut certificat OCSP l'extension de manutention dans les serveurs non-bloquant. Patch par Nils Maier.
• p11tool:. Ajout d'une option pour forcer connexion comme agent de sécurité (admin) -SO-login

Quoi de neuf dans la version 3.2.8:

• libgnutls: code mis à jour pour AES-NI. Cela empêche une plainte variable non initialisée à partir valgrind.
• libgnutls:. appliquer une taille maximale pour les primes de DH
• libgnutls: Ajouté SSSE3 optimisés SHA1 et SHA256, en utilisant le code de Andy Polyakov
.
• libgnutls: Ajouté SSSE3 optimisés AES en utilisant le code de Mike Hambourg
.
• libgnutls: ce que des liens à librt si les fonctions nécessaires ne sont pas présentes dans la libc. Ceci empêche également une liaison indirecte à libpthread.
• libgnutls: Correction d'un problème avec le remplacement gnulib strerror en ajoutant le module de strerror gnulib
.
• libgnutls: Le temps prévu dans les valeurs aléatoires TLS est seulement précis sur ses 3 premiers octets. Cela empêche la fuite du temps de système précis (au moins sur le côté client lorsque seules quelques connexions sont effectuées sur un serveur unique).
• certtool:. L'option --verify va utiliser les CA __gVirt_NP_NN_NNPS<__ système si l'option de charge certificat CA ne sont pas fournis
• configure:. Ajout de l'option --with-blacklist-fichier par défaut pour permettre de spécifier un fichier certificat de liste noire
• configure: Ajout de l'option --disable-non-SuiteB-courbes. Cette option limite les courbes appuyées aux courbes SuiteB.
• API et ABI modifications: gnutls_record_check_corked: Ajouté

Ce qui est nouveau dans la version 3.2.7:

• Plusieurs améliorations dans la manipulation de la carte à puce, à la manipulation du protocole pré-DTLS-1.0 utilisée dans OpenConnect, et la décompression d'enregistrement.
• support a été ajouté pour écrire le & quot; pas bien défini & quot; date d'expiration dans les certificats.

Quoi de neuf dans la version 3.2.6:

• libgnutls: Prise en charge de TPM via pantalon est maintenant activée par défaut.
• libgnutls:. Camellia en mode GCM a été ajoutée dans les priorités par défaut, et le mode de GCM est prioritaire sur CBC dans toutes les chaînes de priorité par défaut
• libgnutls:. Ajouté ciphersuite GNUTLS_ECDHE_RSA_AES_256_CBC_SHA384
• libgnutls: ciphersuites fixes GNUTLS_ECDHE_ECDSA_CAMELLIA_256_CBC_SHA384, GNUTLS_ECDHE_RSA_CAMELLIA_256_CBC_SHA384 et GNUTLS_PSK_CAMELLIA_128_GCM_SHA256. Rapporté par Stefan Buehler.
• libgnutls:. Ajout du support pour la norme ISO OID pour les signatures RSA-SHA1
• libgnutls:. paramètres minimums de groupe DH acceptable ont été augmentés à 767 bits à partir de 727
• libgnutls: Ajout d'une fonction pour obtenir des données aléatoires de PKCS # 11 jetons. Proposé par Wolfgang Meyer zu Bergsten.
• gnulib:. mise à jour
• libdane: Correction d'un bug one-off dans dane_query_tlsa () introduite par le correctif précédent. Rapporté par Tomas Mraz.
• p11tool:. Ajout d'une option de générer aléatoire
• API et ABI modifications: gnutls_pkcs11_token_get_random: Ajouté

Ce qui est nouveau dans la version 3.2.5:

• Cette version ajoute de nouvelles ciphersuites avec Camélia, SHA2- 256, et SHA2-384.
• Un débordement de tampon dans la bibliothèque DANE a été corrigé et plusieurs améliorations mineures ont été apportées.

Ce qui est nouveau dans la version 3.2.4:

• Cette version ajoute la méthode d'échange de clé RSA-PSK .
• Il a correctifs dans la manipulation de billets de session et à la manipulation de demande de certificat de serveur, ainsi que d'autres corrections mineures et mises à jour.

Ce qui est nouveau dans la version 3.2.3:

• Cette version corrige des bugs liés à l'analyse et TLS paquet chaîne de priorité analyse.

Ce qui est nouveau dans la version 3.2.2:

• Plusieurs optimisations liées aux sous-systèmes de traitement de paquets, et des améliorations pour le soutien des DTLS sous d'autres couches de transport que UDP.
• Plusieurs petites corrections.