]> Sergey Matveev's repositories - stargrave-blog.git/commit
projects / stargrave-blog.git / commit
summary | shortlog | log | commit | commitdiff | tree
(parent: 96a5991) | patch
Лживая миссия OpenSSL
authorSergey Matveev <stargrave@stargrave.org>
Thu, 25 Jul 2024 07:11:10 +0000 (10:11 +0300)
committerSergey Matveev <stargrave@stargrave.org>
Thu, 25 Jul 2024 07:23:57 +0000 (10:23 +0300)
commit157d338d59c0c3b5f874836bb1b1feda73a70bdf
tree4b825dc642cb6eb9a060e54bf8d69288fbee4904tree
parent96a5991bf09acf5d1800d507263969fcd5765aa4commit | diff
Лживая миссия OpenSSL

https://openssl-mission.org/
https://openssl-library.org/post/2024-07-24-openssl-new-governance-structure/
https://www.opennet.ru/opennews/art.shtml?num=61603
https://dxdt.ru/2024/07/25/13464/
Недавно OpenSSL лихо поменял свой сайт. Под ними теперь и cryptlib и
Bouncy Castle. А также появился mission statement, прям на главной
странице, гласящий:
    We believe everyone should have access to security and privacy
    tools, whoever they are, wherever they are or whatever their
    personal beliefs are, as a fundamental human right.
Но при переходе на сайт cryptlib-а получаем 403. Кто-то ещё не верит,
что Запад нас не считает за людей, что он упорно старается сделать всё,
для буквального уничтожения и истребления, или хотя бы порабощения? И,
конечно же, всё обмазано "open source" терминологией, которая тоже
показывает свою природу. Но и чисто технически, OpenSSL это вещь с
которой лучше бы ни при каких обстоятельствах не связываться.

А я решил посмотреть на cryptlib (доступный по старому сайту) поближе. И
в его README написано, что TLS 1.3:

    TLS 1.3 support has been added but is disabled by default.  Despite its name,
    TLS 1.3 is a completely new protocol that runs alongside standard TLS and
    doubles the size of the TLS stack if enabled.  In addition since a primary
    design goal for TLS 1.3 was to make the operations of large content providers
    easier (for example it relies on the client guessing a number of
    characteristics of the server, which works fine for Google clients connecting
    to nonstandard configurations in Google servers but less well for non-web-
    client cases) it can lead to performance issues or interoperability problems
    where the client is unable to guess in advance what the server requires.
    Unless there's an external requirement for TLS 1.3 use it's recommended that
    users continue with TLS 1.2.

Честно говоря, я не понял про какие угадывания параметров клиентом идёт
речь (про алгоритм публичного DH ключа?), но в целом тут бред написан.
Причём тут большие CDN-ы? TLS 1.3, в кой да веки, спроектирован грамотно
с привлечением толковых криптографов, state-of-art. А не как постыдное
дерьмо что было прежде. Но cryptlib не рекомендует использовать куда
более простой и грамотный протокол.
Blog