MatrixSSL

MatrixSSL є відкритим вихідним кодом і комерційним проектом, який був розроблений, щоб забезпечити впроваджений SSL (Secure Sockets Layer) і TLS (Transport Layer Security) реалізації для невеликих пристроїв і додатків слід.

З під 50Kb загальною займаною площею, програмне забезпечення включає в себе SSL (Secure Sockets Layer) клієнт 3.0 / розірвати підтримку, TLS (Transport Layer Security) 1.0, 1.1 і підтримка / сервер 1.2 клієнт, криптографічний бібліотека, яка реалізує RSA, AES, MD5, SHA1, 3DES, ECC, Arc4 і шифрування RC2 алгоритми.
Крім того, MatrixSSL надає різні шифри, CRL (списку відкликання сертифікатів) підтримка, сесія шифр УГОДИ і повторного введення, X.509 аутентифікації ланцюжок сертифікатів, а також оптимізації для асемблері, що підтримують Intel, MIPS і ARM платформи.
Серед інших цікавих особливостей можна відзначити повну підтримку кешування сесій та поновлення, сесійні Квитки підтримку, ім'я сервера Індикація підтримки, RFC7301 Application Protocol переговорів і RSASSA-PSS Підпис підтримку алгоритму.
Іншою цікавою особливістю є здатність аналізувати сертифікатів ASN.1 DER і X.509 .pem. Проект також підтримує PKCS # 12, PKCS # 5, PKCS # 1.5 і PKCS # 8 для форматування ключа, підтримує SSH (Secure Shell) командного рядка, підтримує DTLS (Datagram Transport Layer Security), забезпечує підключається шифрування постачальника туалет, крипто, Система perating і Танос інтерфейси, підтримує TCP / IP, а також пропонуються документації для кінцевих користувачів і розробників.

, щоб встановити програмне забезпечення MatrixSSL в операційній системі GNU / Linux, завантажити останню версію з проекту і Rsquo; Сайт (див головній сторінці посилання в кінці огляду), збережіть його десь на вашому комп'ютері, і розпакувати його.
Відкрийте емулятор терміналу додаток, перейдіть в папку, де ви і Rsquo; ве витягнуті архівний файл (наприклад, CD / будинку / softoware / matrixssl-3-7-1-Open - замінити і lsquo; softoware і Rsquo; з Вашим ім'ям користувача), працювати і lsquo; зробити і Rsquo; Команда скомпілювати програму, а потім запустити і lsquo; Судо зробити установку і Rsquo; Команда для його установки.

Що нового У цьому випуску:

• Безпека Виправлення:
• X.509 і ASN.1 Розбір поліпшення - Розширений дослідницька група загроз в Intel безпеки виявили кілька запитань в якості частини своїх досліджень з Берсерк нападу на RSA перевірки підпису. MatrixSSL не містить цю уразливість, яка може призвести до MITM атаки, проте деякі інші поля ASN.1 чи не послідовно перевіряються на решту довжину буфера, коли аналізується. Вони один були виправлені, і () внутрішній API getAsnLength тепер також робить подвійну перевірку стосовно залишилася довжини буфера для полів змінної довжини у всіх випадках.
• Постійна часу Пам'ять Порівняйте - Дзвінки на memcmp () були замінені з memcmpct () реалізації, щоб зменшити ефективність атак в майбутньому, заснований на тимчасових
.
• Нові можливості:
• на рівні додатків протокол переговорів - Реалізована RFC 7301
.
• X.509 RSASSA-PSS Підписи -. MatrixSSL тепер підтримує більш надійний алгоритм RSASSA-PSS підписи у сертифікатах X.509
• Run-Time TLS Характеристика управління - усічений HMAC в експлуатації, максимальний запити Фрагмент довжину і специфікація Крива еліптичних тепер може бути включена на кожного сеансу при створенні нової сесії ..
• Зміни API:
• Кілька. - Будь ласка, дивіться в Зауваженнях з випуску, що входять в пакет для докладної

Що нового у версії 3.4.2:

• виправлення і поліпшення:
• Поліпшені контролю часу виконання Свідченням алгоритмів проти шифрів перевірки ключа і підписи алгоритми громадськості до матеріалу сертифіката під час ініціалізації і шифру переговорів тепер суворіше. Сервери тепер подивіться на алгоритму підпису у свідоцтві про при веденні переговорів шифрів для забезпечення механізму перевірки достовірності узгоджується з шифру. Це дозволяє рукостискання на провал на початку процесу, якщо матеріал сертифікат браузер не підтримує набір шифрів. В основному це захист від помилок конфігурування користувачем, тому-сервер не повинен дозволити шифрів вона не готова підтримати. Тепер клієнти підтверджують алгоритм підпису сертифіката сервера в якості переважного заходи в ході аналізу повідомлення сертифікат. Попередні версії буде розірвати з'єднання пізніше в процесі рукостискання, коли підтримується алгоритм наштовхується на самій ключовий операції громадськості.
• SSL оповіщення Відправлено Рукостискання Creation повідомлення про помилку Попередні версії мовчки розірвати з'єднання SSL, якщо створення рукостискання повідомлення не вдалося. Тепер попередження INTERNAL_ERROR відправляється до закриття з'єднання.
• закрив його вчасно Поновлення сесії Fix нерухомій опорі сервера для сценаріїв, в яких сеанс, який вже знаходиться у відновленій держави рукостискання правильно падати назад до повної рукостискання, якщо клієнт намагається відновленої повторного рукостискання після сеансу минув в кеші сервера .
• Відключити Деревій за замовчуванням і спрощений ПСЧ Перезаполненіе USE_YARROW визначити тепер відключена за замовчуванням в cryptoConfig.h, бо два збору за замовчуванням ентропія джерела ГПСЧ самих джерел, так що не треба бігати, щоб дані через деревію. Ця зміна призведе до незначного поліпшення швидкості з'єднання. Якщо Деревій необхідності, логіка пересівши, що алгоритм був спрощений, щоб оновити тільки на обсяг даних, зчитувальних, а не в тому числі кількість викликів функцій в ПСЧ функції пошуку.
• Вилучено Конфігурація USE_RSA визначити версію з відкритим вихідним кодом MatrixSSL підтримує тільки RSA шифрів, так видалення цього варіанту робить це явно.
• Приклади застосування повному навантаженні Список CA Для допомоги в тестуванні, на прикладі клієнтські і серверні додатки тепер завантажити повний список зразка сертифікації та файли, так перекомпіляція не вимагається, якщо зміни матеріалу зразок посвідчення про партнера.

Що нового у версії 3.4.1:

• Безпека Особливості:
• Лаки Тринадцять протидії - напад блоковий шифр оббивка було доведено, що це можливо. Це впливає на CBC шифри в тому числі AES і 3DES. Це оновлення додає тимчасові контрзаходи, які знижують ефективність цієї атаки.

Що нового у версії 3.1.4:

• функція оновлення
• Основні алгоритми криптографічних зараз є варіанти конфігурації для розміру залежно від швидкості компромісів Попередні версії MatrixSSL була недокументированная час компіляції визначити (SMALL_CODE), що вплинуло на розмір бінарного коду коду деяких симетричних алгоритмів шифрування. Кожен алгоритм, який використовується в це визначення в даний час, враховуючи його власне визначення, щоб керувати, чи хоче користувач створювати бібліотеку для швидкого підтримки алгоритму за рахунок підвищеного двійковій розміру коду. Розмір компромісу по відношенню до швидкості залежить від платформи, але, в цілому, збільшення швидкості буде близько 5% -10% за рахунок 10-20KB для кожного алгоритму. За замовчуванням, в кожному разі, в тому, що ці визначає відключені в cryptoConfig.h зібрати на користь маленького довічного слід.
• RSA алгоритм тепер має можливість налаштування використання пам'яті залежно від швидкості компромісу. Пара Визначає були додані, щоб визначити, чи є алгоритм RSA повинна складатися за меншою використання RAM або більш високу продуктивність. За замовчуванням є компіляція для меншої кількості оперативної пам'яті.
• Сервери тепер можуть відключити конкретні шифри під час виконання - шифрів, які були зібрані в бібліотеці тепер можна програмно відключити (і знову включити) на кожного сеансу. Це корисно для серверів, які хочуть обмежити підтримувані шифри для конкретного підключення клієнта. Новий API, matrixSslSetCipherSuiteEnabledStatus, була додана підтримує цю функцію. Будь ласка, зверніться до API документацію MatrixSSL Для отримання детальної інформації про цієї нової функції.
• Xcode проект для розвитку iPhone в даний час включені -. В Apps / каталог iPhone Тепер користувач може знайти проект Mac Xcode для розробки SSL / клієнтських додатків TLS для iPhone
• сумісність сервера з Chrome браузери, які використовують "фальстарт" - Google Chrome браузер представила новий механізм протоколу під назвою "фальстарт", яка несумісна з суворим реалізації TLS, які не дозволяють обмін даними програми, перш ніж протокол рукостискання буде завершена , Включення ENABLE_FALSE_START в matrixsslConfig.h дозволить більш нові версії браузера Chrome для підключення до MatrixSSL серверів. Включено за замовчуванням.
• Новий явний тип int16 даних була додана - файл osdep.h тепер включає в себе визначення типу 16-розрядного цілого типу під назвою int16. Початковий внутрішнього використання цього нового типу даних можна знайти у функції pstm.c формул, щоб допомогти поліпшити продуктивність на деяких платформах.
• Оновлене приклади Stellaris Luminary Micro / TI - Оновлена ​​підтримка нової версії безпечних прикладів веб-сервер для ARM Cortex-M3
.
• Зміни суспільного API:
• час компіляції визначити для підтримки файлової системи була перейменована - USE_FILE_SYSTEM визначити був перейменований включити PS_ префікс, так що тепер PS_USE_FILE_SYSTEM. Крім того, в це визначення вже не присутній у файлі coreConfig.h заголовка. Це повинні бути включені в платформу збірки навколишнього середовища в компіляції визначити, якщо підтримка файлової системи не потрібно.
• Типи повертаються змінилася osdep.c відкриття і закриття процедури -. Інтерфейсні функції платформи, реалізовані в osdep.c зазнали змін прототипів

Що нового у версії 3.1.3:

• можливість налаштування на стороні сервера був доданий, щоб зменшити бінарний виконуваний розмір з простою X.509 аналізу.
• Алгоритм Ярроу ПСЧ включений для сильної обробки ентропії.
• атрибути X.509 НЕ-ASCII підтримуються в сертифікатах.
• Файли проекту для Windows, були оновлені В.С. Експрес 2010.
• код повернення була роз'яснена в matrixSslReceivedData () API.

Що нового у версії 3.1:

• Новий API, приклади і набір тестів
• TLS і AES включені в Open Source
• Повна SSL рукостискання тепер вимагає і л; 10 КБ оперативної пам'яті, в тому числі мережевих буферів!
• Файли проекту для GNU зробити, Visual Studio і Xcode
• Ще й л; 50KB простору код!

Що нового у версії 1.8.7d:

• Покращена обробка рейсів, що містять кілька закодовані повідомлення рукостискання.
• Покращена розбору, захищених паролем приватних ключів.
• Покращена обробка CA виданих сертифікатів, які помилково дозволено потворних рядків в імені домена.

Що нового у версії 1.8.6:

• рутина matrixRsaParsePubKey була додана підтримка відформатованих ключів X.509 SubjectPublicKeyInfo.
• Існує повна підтримка розбору розширення SubjectAltName у сертифікатах.
• Клієнти можуть відправити кілька параметрів стиснення в повідомленні CLIENT_HELLO.
• рутина matrixX509ReadCert підтримує додатковий файл PEM колонтитули формати.
• ім'я файлу неправильне написання в httpsReflector.c для завантаження сертифіката приклад CAcertCln.der була виправлена.