MatrixSSL

MatrixSSL é uma fonte aberta e projeto comercial que foi projetado para fornecer SSL incorporado (Secure Sockets Layer) e TLS (Transport Layer Security) implementações para pequenos dispositivos pegada e aplicações.

Com sob pegada total de 50 KB, o software inclui SSL (Secure Sockets Layer) 3.0 cliente / servidor de apoio, TLS (Transport Layer Security) 1.0, 1.1 e 1.2 suporte de cliente / servidor, uma biblioteca de criptografia que implementa a RSA, AES, MD5, SHA1, 3DES, ECC, ARC4, e criptografia RC2 algoritmos.
Além disso, MatrixSSL oferece vários pacotes de criptografia, CRL (Lista de Certificados Revogados) apoio, sessão cifra renegociação e re-digitação, X.509 autenticação cadeia de certificados, bem como otimizações para a linguagem assembly, apoiando Intel, MIPS e ARM plataformas.
Entre outras características interessantes, podemos citar suporte completo para o cache de sessão e retomada, suporte Ingressos Stateless Session, Name Server apoio Indicação, Aplicação RFC7301 protocolo de negociação, e apoio Algorithm RSASSA-PSS assinatura.
Outra característica interessante é a capacidade de analisar DER ASN.1 e X.509 .pem certificados. O projeto também suporta PKCS # 12, PKCS # 5, PKCS # 1.5 e PKCS # 8 para formatação chave, suporta SSH (Secure Shell) de linha de comando, suporta DTLS (Datagram Transport Layer Security), fornece provedor suite, crypto cifra pluggable, sistema PERACIONAL e interfaces de malloc, suporta TCP / IP, e oferece tanto a documentação do usuário final e desenvolvedor.

Para instalar o software MatrixSSL em seu sistema operacional GNU / Linux, baixe a última versão do projeto & rsquo; s website (veja o link homepage no final da revisão), salvá-lo em algum lugar no seu computador, e descompacte-o.
Abra um aplicativo emulador de terminal, vá até o local onde você & rsquo; ve extraiu o arquivo (por exemplo, cd / home / softoware / MatrixSSL-3-7-1-aberto - substituir o & lsquo; softoware & rsquo; com seu nome de usuário), executar o & lsquo; tornar o & rsquo; comando para compilar o programa e, em seguida, executar o & lsquo; sudo make install & rsquo; comando para instalá-lo.

O que é novo nesta versão:

• Segurança Fixes:
• X.509 e ASN.1 Analisando Melhorias - A equipe avançada da Intel Segurança Threat Research descobriu várias questões, como parte de sua investigação sobre o ataque furioso sobre a verificação de assinatura RSA. Não MatrixSSL não conter essa vulnerabilidade que pode resultar em um ataque MITM, no entanto alguns outros campos ASN.1 não foram consistentemente verificadas em relação restante tamanho do buffer quando analisado. Estes foram, cada um fixo, eo getAsnLength () API interna agora também faz uma verificação dupla contra o tamanho do buffer restante para campos de comprimento variável em todos os casos.
• constante de tempo de Memória Compare - As chamadas para memcmp () foram substituídas por uma implementação memcmpct () para reduzir a eficácia de futuros ataques baseados calendário
.
• Novos recursos:
• aplicação de camada protocolo de negociação - Implementado RFC 7301
.
• X.509 RSASSA-PSS - Assinaturas. MatrixSSL agora suporta o algoritmo mais seguro assinatura RSASSA-PSS em certificados X.509
• Run-Time TLS de controlo de funcionalidades - Truncado uso HMAC, Máximo pedidos Fragment Length, e especificação da curva elíptica agora pode ser ativado em uma base por sessão, quando a criação de uma nova sessão ..
• Alterações API:
• Vários -. Por favor, veja as notas de lançamento incluídos no pacote para obter detalhes

O que é novo na versão 3.4.2:

• correções e melhorias:
• melhoria dos controlos de tempo de execução de Certificado Algoritmos Contra Cipher Suites verificando a chave de assinatura e algoritmos públicos do material certificado durante a inicialização e cifra negociação suite é agora mais rigorosa. Servidores agora olhar para o algoritmo de assinatura do seu certificado ao negociar pacotes de criptografia para garantir o mecanismo de autenticação é coerente com o conjunto de codificação. Isso permite que o aperto de mão a falhar no início do processo, se o material certificado não suporta um conjunto de cifras solicitado. Isto é principalmente uma proteção contra erros de configuração de usuário porque um servidor não deve habilitar conjuntos de codificação que não está disposta a apoiar. Os clientes agora confirmar o algoritmo de assinatura do certificado do servidor, como medida preventiva durante a análise da mensagem certificado. As versões anteriores iria terminar a ligação mais tarde no processo de aperto de mão quando o algoritmo não suportado foi encontrado para a própria operação de chave pública.
• Alerta SSL Enviado em Handshake mensagem Criação de falha versões anteriores seriam silenciosamente terminar a conexão SSL se a criação mensagem de ligação falhou. Agora um alerta INTERNAL_ERROR é enviado antes de fechar a conexão.
• Reinício sessão expirada Fix suporte do servidor fixo para cenários em que uma sessão que já está em um estado handshake retomada vai corretamente cair de volta para um aperto de mão cheia, se o cliente tentar uma re-aperto de mão recomeçou após a sessão expirou no cache do servidor .
• Desativar Yarrow por padrão e simplificado PRNG nova propagação do USE_YARROW definir agora está desativado por padrão no cryptoConfig.h porque os dois reunindo entropia padrão fontes são PRNG fontes mesmos, então isso não é necessário para executar esses dados através de Yarrow. Esta mudança irá resultar em uma melhoria de velocidade de conexão menor. Se Yarrow é necessária, a lógica para sementeiras que o algoritmo foi simplificado para atualizar apenas na quantidade de dados lidos em vez de incluir o número de chamadas de função para a função de recuperação de PRNG.
• Removido o Configuração USE_RSA definir a versão de código aberto do MatrixSSL só suporta RSA cifra suites de modo a remoção desta opção faz com que este explícito.
• Aplicações Exemplo Carregar Lista completa CA Para auxiliar na análise, as aplicações exemplo de cliente e servidor agora carregar a lista completa de amostra Autoridade de Certificação arquivos para uma recompilação não é necessário se mudar o material certificado amostra do peer.

O que é novo na versão 3.4.1:

• Recursos de segurança:
• Lucky Thirteen Countermeasure - Um ataque contra o bloco cifra estofamento foi provado ser viável. Isso afeta cifras CBC incluindo AES e 3DES. Esta atualização adiciona cronometrando contramedidas que reduzem a eficácia deste ataque.

O que é novo na versão 3.1.4:

• atualizações de recursos:
• algoritmos de criptografia primários agora têm opções de configuração para tamanho vs. trocas de velocidade As versões anteriores do MatrixSSL tiveram um tempo de compilação indocumentados define (SMALL_CODE) que influenciou o tamanho de alguns algoritmos de criptografia simétrica código binário. Cada algoritmo que usou esta definição foi agora dada a sua própria definição para controlar se o usuário deseja criar a biblioteca de apoio algoritmo mais rápido à custa de um aumento do tamanho do código binário. O tamanho versus velocidade de troca é dependente da plataforma mas, em geral, os aperfeiçoamentos de velocidade será de cerca de 5% a 10% no custo de 10-20KB para cada algoritmo. O padrão, em cada caso, é que esses define são deficientes em cryptoConfig.h para compilar em favor de menor pegada binário.
• RSA algoritmo agora tem opção de configuração para uso de memória vs. tradeoff velocidade. Um par de define foram adicionados para determinar se o algoritmo RSA deve ser compilado para utilização de RAM ou menor desempenho mais rápido. O padrão é compilar para uso de memória RAM menor.
• Os servidores podem agora desativar suites específicas cifra em tempo de execução - conjuntos de cifras que foram compilados para a biblioteca agora pode ser desativado através de programação (e reativado) em uma base per-sessão. Isso é útil para servidores que desejam limitar as cifras suportados suites para um cliente que liga específica. A nova API, matrixSslSetCipherSuiteEnabledStatus, foi adicionado para suportar esta funcionalidade. Por favor, consulte a documentação da API MatrixSSL para obter informações detalhadas sobre este novo recurso.
• Um projeto do Xcode para o desenvolvimento do iPhone agora está incluído -. No diretório / iphone aplicativos o usuário pode agora encontrar um projeto Mac Xcode para o desenvolvimento de aplicativos cliente SSL / TLS para o iPhone
• compatibilidade Server com browsers Chrome que usam "false start" - O navegador Google Chrome lançou um novo mecanismo de protocolo chamado "false start" que é incompatível com implementações rigorosas TLS que não permitem a troca de dados de aplicativo antes de o protocolo handshake está completo . Ativando ENABLE_FALSE_START em matrixsslConfig.h permitirá que versões mais recentes do navegador Chrome para se conectar com os servidores MatrixSSL. Ativado por padrão.
• Um novo tipo de dados int16 explícita foi adicionado - O arquivo osdep.h inclui agora um typedef para um tipo inteiro de 16 bits chamado int16. O uso interno inicial deste novo tipo de dados pode ser encontrada na função pstm.c matemática para ajudar a melhorar o desempenho em algumas plataformas.
• Atualizado para exemplos Stellaris Luminary Micro / TI - Atualizado para apoiar a nova versão de exemplos de servidor web seguras para o ARM Cortex-M3
.
• Alterações API pública:
• em tempo de compilação para definir o apoio do sistema de arquivos foi renomeado - O USE_FILE_SYSTEM definir foi renomeado para incluir um prefixo PS_ de modo que é agora PS_USE_FILE_SYSTEM. Além disso, esta definição não está mais presente no cabeçalho do arquivo coreConfig.h. Deve ser incluído no ambiente de compilação plataforma como um tempo de compilação definir se é necessário o apoio do sistema de arquivos.
• tipos de retorno mudou para osdep.c rotinas Open e Close -. As funções de interface de plataforma implementadas em osdep.c sofreram alterações protótipo

O que é novo na versão 3.1.3:

• A opção de configuração do lado do servidor foi adicionado para diminuir o tamanho binário executável com simples análise X.509.
• O algoritmo Yarrow PRNG está incluído para um forte processamento entropia.
• atributos X.509 não-ASCII são suportados em certificados.
• Os arquivos de projeto para o Windows foram atualizados para VS expresso de 2010.
• O código de retorno foi esclarecido pela matrixSslReceivedData () API.

O que é novo na versão 3.1:

• New API, exemplos e suíte de teste
• TLS e AES incluído no open source
• handshake SSL completa exige agora & lt; 10KB de memória RAM, incluindo buffers de rede!
• Os arquivos de projeto para o GNU make, Visual Studio e Xcode
• Still & lt; Espaço de código 50KB!

O que é novo na versão 1.8.7d:

• Melhoria da manipulação de voos contendo múltiplos codificado mensagens aperto de mão.
• Melhoria da análise de senha protegida chaves privadas.
• melhoria no tratamento de CA emitido certificados que erroneamente permitidos cadeias mal no nome de domínio.

O que é novo na versão 1.8.6:

Apoio
• A rotina matrixRsaParsePubKey adicionou para X.509 SubjectPublicKeyInfo chaves formatados.
• Não há suporte a análise completa da extensão subjectAltName em certificados.
• Os clientes estão autorizados a enviar vários parâmetros de compressão na mensagem client_hello.
• A rotina matrixX509ReadCert suporta cabeçalho e rodapé formatos de arquivo PEM adicional.
• Um erro ortográfico no nome do arquivo httpsReflector.c para carregar o certificado exemplo CAcertCln.der foi corrigido.