MatrixSSL

MatrixSSL ay isang open source at komersyal na proyekto na dinisenyo upang magbigay ng naka-embed na SSL (Secure Sockets Layer) at TLS (Transport Layer Security) pagpapatupad para sa maliit na mga aparato at mga aplikasyon footprint.

Sa ilalim ng 50KB kabuuang footprint, ang software na may kasamang SSL (Secure Sockets Layer) 3.0 client / maputol suporta, TLS (Transport Layer Security) 1.0, 1.1 at support / server 1.2 client, ang isang cryptographic library na ipinapatupad ang RSA, AES, MD5, SHA1, 3DES, ECC, ARC4, at pag-encrypt RC2 algorithm.
Bukod pa rito, MatrixSSL ay nagbibigay ng iba't-ibang mga cipher suites, CRL (List pagbawi ng certificate) ng suporta, mga session cipher renegotiation at muling pag-keying, X.509 certificate chain pagpapatotoo, pati na rin ang mga pag-optimize para sa wika pagtitipon, pagsuporta sa Intel, MIPS at ARM platform.
Sa iba pang mga kagiliw-giliw na mga tampok, maaari naming banggitin ang kumpletong suporta para sa pag-cache session at pagpapatuloy, Stateless Session suporta Tiket, Pangalan ng Server suporta pahiwatig, RFC7301 Application Protocol pag-aayos, at RSASSA-PSS Signature Algorithm suporta.
Isa pang kawili-wiling tampok ay ang kakayahang i-parse ang ASN.1 der at X.509 .pem certificate. Sinusuportahan ang proyekto din PKCS # 12, PKCS # 5, PKCS # 1.5 at PKCS # 8 para sa mga pangunahing pag-format, sinusuportahan ng SSH (Secure Shell) command-line, sinusuportahan DTLS (Datagram Transport Layer Security), ay nagbibigay ng pluggable cipher suite, crypto provider, perating system at malloc mga interface, ay sumusuporta sa TCP / IP, at nag-aalok ng parehong mga dokumentasyon ng end-user at developer.

Upang i-install ang MatrixSSL software sa iyong GNU / Linux operating system, i-download ang pinakabagong release mula sa proyekto & rsquo; website ng (tingnan ang link sa homepage sa dulo ng pagsusuri), i-save ito sa isang lugar sa iyong computer, at ma-unpack ito.
Buksan ang isang terminal emulator app, pumunta sa lokasyon kung saan mo & rsquo Nag kinuha ang archive file (eg cd / bahay / softoware / matrixssl-3-7-1-bukas - palitan ang & lsquo; softoware & rsquo; gamit ang iyong username), patakbuhin ang & lsquo; gumawa & rsquo; command upang makatipon ng programa, at pagkatapos ay patakbuhin ang & lsquo; Sudo gumawa install & rsquo; command upang i-install ito.

Ano ang bagong sa paglabas:

• Seguridad Pag-aayos:
• X.509 at ASN.1 sa pag-parse Pagpapabuti - Ang Advanced na pagbabanta Research koponan sa Intel Security natuklasan ang ilang mga isyu bilang bahagi ng kanilang pananaliksik sa mga taong nagngangalit pag-atake sa pag-verify ng signature RSA. MatrixSSL ay hindi naglalaman ng ito kahinaan ay maaaring magresulta sa isang MITM pag-atake, gayunpaman ilang mga iba pang mga patlang ASN.1 ay hindi tuloy-tuloy na sinusuri laban natitirang haba buffer kapag parse. Ang mga ito ay bawat Naayos na, at nagagawa rin ngayon ang getAsnLength () panloob API double check laban sa natitirang haba buffer para sa variable na haba field sa lahat ng mga kaso.
• Ang patuloy na-Time Memory Paghambingin - Ang mga tawag sa memcmp () ay napalitan ng isang memcmpct () pagpapatupad upang bawasan ang pagiging epektibo ng batay timing na pag-atake sa hinaharap
.
• Bagong Tampok:
• Application-Layer Protocol pag-aayos - Ipinatupad RFC 7301
.
• X.509 RSASSA-PSS Lagdang -. MatrixSSL Sinusuportahan na ngayon ng mas secure RSASSA-PSS signature algorithm sa X.509 certificate
• Run-Time TLS Control Tampok - Naputol HMAC paggamit, Maximum na mga kahilingan fragment Haba, at detalye ng Curve patambilog ay maaari na ngayong ma-enable sa batayang bawat session kapag lumilikha ng isang bagong session ..
• Pagbabago ng API:
• Maraming -. Mangyaring tingnan ang tala ng paglabas kasama sa package para sa mga detalye

Ano ang bagong sa bersyon 3.4.2:

• Pag-aayos ng bug at mga pagpapabuti:
• Pinahusay na Run-Time mga tseke ng Certificate algorithm Laban sa Cipher Suites Sinusuri ang susi at signature algorithm pampublikong ng materyal certificate sa panahon ng pagsisimula at cipher suite na pag-uusap ngayon ay stricter. Ngayon tumingin sa mga server na ang signature algorithm ng kanilang mga sertipiko kapag pakikipag-ayos cipher suites upang matiyak ang mekanismo authentication ay pare-pareho sa cipher suite. Ito ay nagbibigay-daan sa handshake upang mabigo sa unang bahagi ng proseso kung hindi sumusuporta sa mga materyal na sertipiko ay isang hiniling na cipher suite. Ito ay higit sa lahat ng proteksyon laban sa mga error sa configuration ng user na ito dahil hindi dapat paganahin ang isang server cipher suites ito ay hindi handa upang suportahan. Mga kliyente na ngayon kumpirmahin ang certificate ng server signature algorithm bilang isang pre-emptive panukala sa panahon ng pag-parse ng mensahe CERTIFICATE. Gusto wakasan ang mga nakaraang bersyon ng koneksyon sa paglaon sa proseso handshake kapag ang hindi suportadong algorithm ay nakatagpo para sa pampublikong operasyon key sarili nito.
• SSL Alert Ipinadala sa handshake Paglikha ng Mensahe Pagkabigo nakaraang bersyon ay wakasan ang tahimik na ang SSL connection kung nagtagumpay ang paglikha ng handshake mensahe. Ngayon isang INTERNAL_ERROR alerto ay ipinadala bago isara ang koneksyon.
• Nag-expire pagpapatuloy Session Ayusin Inayos ang server ng suporta para sa mga sitwasyon kung saan ang isang session na ay nasa isang Ipinagpatuloy estado handshake ay tama umurong sa isang ganap na handshake kung tinatangka ng client ang isang Ipinagpatuloy ang muling pag-handshake pagkatapos ng session ay natapos na sa cache server .
• Huwag paganahin ang Achillea millefolium sa pamamagitan ng default at Pinapayak PRNG Reseeding Ang USE_YARROW tukuyin Hindi pinagana ngayon sa pamamagitan ng default sa cryptoConfig.h dahil ang dalawang default na entropy pangangalap ng mga pinagmulan ay PRNG pinagmumulan ng kanilang sarili sa gayon ito ay hindi na kinakailangan upang patakbuhin ang data na iyon sa pamamagitan ng Achillea millefolium. Ang pagbabagong ito ay magreresulta sa isang menor bilis ng koneksyon sa pagpapabuti. Kung Achillea millefolium ay kinakailangan, ang logic para reseeding algorithm na ay pina-simple upang i-update lamang sa mga halaga ng data basahin sa halip na kabilang ang bilang ng mga function na tawag sa PRNG function na pagbawi.
• Inalis ang USE_RSA Configuration Tukuyin ang open source na bersyon ng MatrixSSL ay sumusuporta lamang RSA cipher suites sa gayon ang pag-alis ng opsyon na ginagawang malinaw na ito.
• Halimbawa Application-load ang Buong Listahan ng CA Upang makatulong sa pagsubok, ngayon load ang application halimbawa client at server ang buong listahan ng mga sample na mga file ng Certificate Authority kaya ang mag-recompile ay hindi kinakailangan kung ang pagbabago ng sample materyal ng peer certificate.

Ano ang bagong sa bersyon 3.4.1:

• Mga Tampok ng Seguridad:
• Lucky labintatlo Countermeasure - Isang pag-atake laban sa block cipher padding ay napatunayan nang magagawa. Ito ay nakakaapekto sa CBC ciphers kabilang ang AES at 3DES. Ang update na ito ay nagdaragdag ng timing countermeasures na bawasan ang pagiging epektibo ng pag-atakeng ito.

Ano ang bagong sa bersyon 3.1.4:

• Mga Update Tampok:
• Pangunahing crypto algorithm ay mayroon na ngayong pagpipilian sa configuration para sa laki kumpara sa bilis tradeoffs Nakaraang bersyon ng MatrixSSL nagkaroon ng undocumented oras compile tukuyin (SMALL_CODE) na naiimpluwensyahan ang binary code laki ng ilang symmetric cipher algorithm. Ang bawat algorithm na ginamit tukuyin ang nabigyan na ngayon ang sarili nitong tukuyin na kontrolin kung gusto ng user upang bumuo ng library para sa mas mabilis na algorithm sa suporta sa gastos ng mas mataas na binary laki code. Ang laki kumpara sa bilis tradeoff ay nakasalalay sa platform ngunit, sa pangkalahatan, ang pagpapabuti ng bilis ay tungkol sa 5% -10% sa halaga ng 10-20KB para sa bawat algorithm. Ang default, sa bawat kaso, ay na ang mga tumutukoy ay hindi pinagana sa cryptoConfig.h upang makatipon ng pabor sa pinakamaliliit na binary footprint.
• RSA algorithm ay mayroon na ngayong pagpipilian sa configuration para sa paggamit ng memory kumpara sa bilis tradeoff. Ang isang pares ng mga Tinutukoy ang naidagdag upang matukoy kung ang RSA algorithm ay dapat na pinagsama-sama para sa mas maliit na paggamit ng RAM o mas mabilis na pagganap. Ang default ay upang ipunin para sa mas maliit na paggamit ng RAM.
• Server ay maaari na ngayong hindi paganahin ang mga partikular na cipher suites sa runtime - Cipher suite na pinagsama-sama sa library ay maaari na ngayong hindi pinagana program (at muling pinagana) sa batayang bawat session. Ito ay kapaki-pakinabang para sa mga server na nais upang limitahan ang sinusuportahan ciphers suite para sa isang tiyak pagkonekta ng kliyente. Ang isang bagong API, matrixSslSetCipherSuiteEnabledStatus, ay naidagdag upang suportahan ang functionality na ito. Mangyaring tingnan ang dokumentasyon API MatrixSSL para sa detalyadong impormasyon sa bagong tampok na ito.
• Ang isang Xcode proyekto para sa pagpapaunlad ng iPhone ay kasama na ngayon -. Sa apps / directory iPhone ay maaari na ngayong makita ang user na ang isang proyekto Mac Xcode para pagbubuo ng SSL / TLS application client para sa iPhone
• compatibility ng server sa browser ng Chrome na gamitin ang "maling simula" - ay ipinakilala ang Google Chrome browser ng isang bagong mekanismo protocol na tinatawag na "maling simula" na ay hindi tugma sa mahigpit na pagpapatupad ng TLS na huwag payagan ang exchange ng data ng application bago ang handshake protocol ay kumpleto na . Ang pagpapagana ENABLE_FALSE_START sa matrixsslConfig.h ay magbibigay-daan mas bagong bersyon ng browser ng Chrome upang kumonekta sa MatrixSSL mga server. Pinagana bilang default.
• Isang bagong tahasang uri ng int16 data ay naidagdag - Kasama na ngayon sa osdep.h file ng typedef para sa isang uri ng integer 16-bit na tinatawag na int16. Ang unang panloob na paggamit ng mga ito bagong uri ng data ay matatagpuan sa ang pag-andar pstm.c sa matematika upang makatulong na mapabuti ang pagganap sa ilang mga platform.
• Na-update para sa luminaryo Micro / TI halimbawa Stellaris - Nai-update upang suportahan ang mga bagong release ng mga secure na server ng web ng mga halimbawa para sa ARM Cortex-M3
.
• Pagbabago ng Pampublikong API:
• compile-time na tukuyin para sa suporta sa file system ay napalitan ng pangalan - tukuyin USE_FILE_SYSTEM Ang ay napalitan ng pangalan upang isama ang isang prefix PS_ upang ito ay ngayon PS_USE_FILE_SYSTEM. Bilang karagdagan, ito tukuyin Wala na sa coreConfig.h header na file. Ito ay dapat na kasama sa kapaligiran platform build bilang tukuyin kung support system ng file ay kailangan ng sumulat ng libro-time.
• Mga uri ng Return nabago para sa osdep.c Buksan at Isara gawain -. Ang mga pag-andar ng platform ng interface na ipinapatupad sa osdep.c na undergone pagbabago prototype

Ano ang bagong sa bersyon 3.1.3:

• May pagpipilian sa configuration ng server-side ay naidagdag sa bawasan binary executable laki na may mas simpleng X.509 sa pag-parse.
• Ang Achillea millefolium PRNG algorithm ay kasama para sa malakas pagpoproseso ng entropy.
• Mga katangian ng X.509 Non-ASCII na sinusuportahan ng mga certificate.
• mga file ng proyekto para sa Windows ay na-update upang vs Express 2010.
• Ang pagbabalik code ay clarified para sa matrixSslReceivedData () API.

Ano ang bagong sa bersyon 3.1:

• Bagong API, halimbawa at pagsubok suite
• TLS at AES kasama sa open source
• Buong SSL pagkakamay Nangangailangan na ngayon ang & lt; 10KB ng RAM, kabilang ang buffers network!
• mga file ng proyekto para sa GNU gumawa, Visual Studio at Xcode
• Hindi pa rin & lt; 50KB puwang code!

Ano ang bagong sa bersyon 1.8.7d:

• Pinahusay na pangangasiwa ng mga flight na naglalaman ng maramihang mga naka-encode na handshake ng mga mensahe.
• Pinahusay na pag-parse ng protektado ng password sa pribadong key.
• Pinahusay na pangangasiwa ng CA certificate na ibinigay na maling pinapayagan sirang mga string sa pangalan ng domain.

Ano ang bagong sa bersyon 1.8.6:

• Ang matrixRsaParsePubKey routine ay nagdagdag ng suporta para sa X.509 SubjectPublicKeyInfo na-format na mga key.
• May buong pag-parse ng suporta ng extension subjectAltName sa certificate.
• Mga Kliyente pinapayagang magpadala ng maraming mga parameter compression sa mensahe CLIENT_HELLO.
• Sinusuportahan ng matrixX509ReadCert regular na mga format ng header at footer karagdagang PEM file.
• Ang isang filename maling pagbaybay sa httpsReflector.c para sa paglo-load ng halimbawa CAcertCln.der sertipiko ay nai-naitama.