LibreSSL

LibreSSL
開發者	OpenBSD计划
当前版本	2.4.3（2016年9月27日，8年前）
预览版本	2.5.0（2016年9月27日，8年前）
源代码库	github.com/libressl-portable/portable.git;
编程语言	C，汇编语言
操作系统	OpenBSD、FreeBSD、Linux、Mac OS X、Solaris
类型	安全库
许可协议	Apache许可证1.0、4句BSD许可证、ISC許可證，部份為公有领域
网站	http://www.libressl.org

LibreSSL是OpenSSL 加密软件库的一个分支，为一个安全套接层（SSL）和传输层安全（TLS）协议的开源实现。在OpenSSL爆出心脏出血安全漏洞之后，一些OpenBSD开发者于2014年4月创立了LibreSSL，^[1]^[2]^[3]目标是重构OpenSSL的代码，以提供一个更安全的替代品。^[4]LibreSSL复刻自OpenSSL库的1.0.1g分支，它将遵循其他OpenBSD项目所使用的安全指导原则。^[5]

历史

裁剪代码进程的第一周，LibreSSL即从OpenSSL原始代码中删去了多余9000行的无用代码。^[6]^[7]这些被移除的代码大多是对较老或目前罕见操作系统的支持代码或者是陈旧的底层代码。LibreSSL的最初开发目的是作为OpenBSD 5.6中的OpenSSL预期替代品，一旦库的精简版稳定下来，它还有望移植至其他平台。^[8]截至2014年4月 (2014-04)^[update]，该项目仍在寻求“稳定的”外部资金支持。^[7]

变化详细

迄今为止，一些较显着和重要的变化包括更换自定义的内存调用为标准函数（例如strlcpy、calloc、asprintf、reallocarray等）。^[9]^[10]这有助于将来用更先进的内存分析工具，或仅通过观察程序的崩溃来发现缓存溢出错误。CVS提交日志中也记录了潜在双重释放内存的修复（包括空指针值的显式分配）。^[11]不安全的种子生成方法（借助于内核自己原生提供的功能）被替换掉，以确保基于随机数生成器的方法使用了正确的随机数种子。额外的完整性检查也被加入进来，以检查长度参数、无符号到有符号变量的赋值、指针值/方法返回值等数据的有效性。一些使之更加安全的编译器选项和标志也有助于发现潜在问题，以使其能被及早修复（-Wuninitialized，-Werror等）。

为符合良好的编程风格，项目也增强了代码可读性及清理空白字符（KNF）。移除不需要平台的支持（如MacOS、Novell NetWare、OS/2、VMS、Microsoft Windows等較老舊及已停止開發的作業系統），以消除潜在的安全隐患。移除不必要或不安全的#define语句和变量。移除未使用的或旧的程序集、应用程序、演示及文档文件/代码（Perl脚本、C语言文件等）。移除对FIPS支持、不安全的算法（Dual_EC_DRBG）及旧的协议/加密器（SSLv2）。对不必要的方法包装和宏的修改也有助于增强可读性（Error & BIO（I/O抽象）库）。

最后并同样重要的，复刻的一个主要原因是OpenSSL团队的不合作态度，之前几年提交的漏洞补丁不是没注意到就是被忽略了。提交日志显示LibreSSL修复了这些较旧的漏洞。^[12]

参见

TLS实现比较
POSSE计划
OpenSSH，OpenBSD社区所创的另一个安全软件的分支

参考

^ Unangst, Ted. Origins of libressl. flak. 2014-04-22 [2014-04-24].
^ Kemer, Sean Michael. After Heartbleed, OpenSSL Is Forked Into LibreSSL. eWeek. 2014-04-22 [2014-04-24].
^ Not Just a Cleanup Any More: LibreSSL Project Announced. Slashdot. 2014-04-22 [2014-04-24].
^ Holwerda, Thom. OpenBSD forks, prunes, fixes OpenSSL. OSNews. 2014-04-23 [2014-04-24].
^ Hessler, Peter. OpenBSD has started a massive strip-down and cleanup of OpenSSL. OpenBSD Journal. 2014-04-15 [2014-04-24].
^ Seltzer, Larry. OpenBSD forks, prunes, fixes OpenSSL. Zero Day. ZDNet. 2014-04-21 [2014-04-21].
^ ^7.0 ^7.1 Brodkin, Jon. OpenSSL code beyond repair, claims creator of "LibreSSL" fork. Ars Technica. 2014-04-22 [2014-04-24].
^ McCallion, Jane. Heartbleed: LibreSSL scrubs "irresponsible" OpenSSL code. PC Pro. 2014-04-22 [2014-04-23].
^ Orr, William. A quick recap over the last week. OpenSSL Valhalla Rampage. 2014-04-23 [2014-04-30]. ^{[自述来源]}
^ OpenBSD LibreSSL CVS Calloc Commits.
^ OpenBSD LibreSSL CVS Double Free Commits.
^ OpenBSD LibreSSL CVS Buffer Release (#2167 bugfix) Commit. 2014-04-10 [2014-05-01].

外部链接

[1] Unangst, Ted. Origins of libressl. flak. 2014-04-22 [2014-04-24].

[2] Kemer, Sean Michael. After Heartbleed, OpenSSL Is Forked Into LibreSSL. eWeek. 2014-04-22 [2014-04-24].

[3] Not Just a Cleanup Any More: LibreSSL Project Announced. Slashdot. 2014-04-22 [2014-04-24].

[4] Holwerda, Thom. OpenBSD forks, prunes, fixes OpenSSL. OSNews. 2014-04-23 [2014-04-24].

[fork-5] Hessler, Peter. OpenBSD has started a massive strip-down and cleanup of OpenSSL. OpenBSD Journal. 2014-04-15 [2014-04-24].

[6] Seltzer, Larry. OpenBSD forks, prunes, fixes OpenSSL. Zero Day. ZDNet. 2014-04-21 [2014-04-21].

[brodkin20140422-7] 7.0 ^7.1 Brodkin, Jon. OpenSSL code beyond repair, claims creator of "LibreSSL" fork. Ars Technica. 2014-04-22 [2014-04-24].

[pcpro-8] McCallion, Jane. Heartbleed: LibreSSL scrubs "irresponsible" OpenSSL code. PC Pro. 2014-04-22 [2014-04-23].

[valhalla1wk-9] Orr, William. A quick recap over the last week. OpenSSL Valhalla Rampage. 2014-04-23 [2014-04-30]. ^{[自述来源]}

[libsslcallc-10] OpenBSD LibreSSL CVS Calloc Commits.

[libssldouble-11] OpenBSD LibreSSL CVS Double Free Commits.

[commit_log-12] OpenBSD LibreSSL CVS Buffer Release (#2167 bugfix) Commit. 2014-04-10 [2014-05-01].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

查论编 OpenBSD计划
操作系统	OpenBSD 时间线（英语：Timeline of OpenBSD）安全（英语：OpenBSD security features）
相关计划	CARP LibreSSL OpenSSH OpenBGPD OpenIKED（英语：OpenIKED） OpenOSPFD OpenNTPD OpenSMTPD（英语：OpenSMTPD） PF（英语：PF (firewall)） sndio（英语：sndio） spamd（英语：spamd） Systrace（英语：Systrace） Tmux Xenocara（英语：Xenocara） cwm W^X（英语：W^X）
人物	西奥·德·若特 Niels Provos（英语：Niels Provos） OpenBSD基金会 Plaid Tongued Devils（英语：Plaid Tongued Devils）
资源	OpenBSD Journal（英语：OpenBSD Journal）