MatrixSSL

MatrixSSL è un open source e progetto commerciale che è stato progettato per fornire SSL embedded (Secure Sockets Layer) e TLS (Transport Layer Security) implementazioni per piccoli dispositivi footprint e applicazioni.

Con in totale impronta 50KB, il software include SSL (Secure Sockets Layer) client 3.0 / sever supporto, TLS (Transport Layer Security) 1.0, 1.1 e supporto / server 1.2 client, una libreria crittografica che implementa la RSA, AES, MD5, SHA1, 3DES, ECC, ARC4, e crittografia RC2 algoritmi.
Inoltre, MatrixSSL offre varie suite di cifratura, CRL (elenco revoche certificati) piattaforme di supporto, sessioni cifra di rinegoziazione e di re-keying, X.509 autenticazione catena di certificati, così come ottimizzazioni per il linguaggio assembly, supporto Intel, MIPS e ARM.
Tra le altre caratteristiche interessanti, possiamo citare il supporto completo per la memorizzazione nella cache sessione e ripresa, Stateless Session Biglietti supporto, sostegno Indicazione Name Server, RFC7301 Application Protocol negoziazione, e RSASSA-PSS Signature Algorithm supporto.
Un'altra caratteristica interessante è la possibilità di analizzare i certificati ASN.1 DER e X.509 .pem. Il progetto sostiene inoltre PKCS # 12, PKCS # 5, PKCS # 1.5 e PKCS # 8 per la formattazione chiave, supporta SSH (Secure Shell) da riga di comando, supporta DTLS (Datagram Transport Layer Security), fornisce pluggable cifra fornitore privato, crypto, Sistema Perating e interfacce malloc, supporta TCP / IP, e offre sia la documentazione per l'utente finale e sviluppatore.

Per installare il software MatrixSSL sul sistema operativo GNU / Linux, scaricare l'ultima versione del progetto & rsquo; s sito web (vedi home page il link alla fine della recensione), salvarlo da qualche parte sul tuo computer, e scompattarlo.
Aprire un emulatore di applicazione terminale, accedere alla posizione in cui si & rsquo; ve stato estratto il file archivio (ad esempio, cd / home / softoware / matrixssl-3-7-1-aperta - sostituire & lsquo; softoware & rsquo; con il tuo username), eseguire il & lsquo; fare & rsquo; comando per compilare il programma, e quindi eseguire il & lsquo; sudo make install & rsquo; comando per installarlo.

Cosa c'è di nuovo in questa versione:

• Sicurezza Correzioni:
• X.509 e ASN.1 parsing Miglioramenti - Il team di Threat Research Advanced Intel Security hanno scoperto diverse questioni, come parte della loro ricerca in attacco furia sulla verifica della firma RSA. MatrixSSL non contiene la vulnerabilità che può risultare in un attacco MITM, tuttavia alcuni altri campi ASN.1 non sono stati costantemente confrontati restante lunghezza del buffer quando analizzato. Questi sono stati entrambi fissi, e la getAsnLength () API interna ora fa anche un doppio controllo contro la lunghezza del buffer residuo per campi a lunghezza variabile in tutti i casi.
• Constant-Time Memory Confronta - Chiamate a memcmp () sono stati sostituiti con un memcmpct () implementazione di ridurre l'efficacia dei futuri attacchi basati tempi
.
• Nuove funzionalità:
• Application Layer Protocol Negoziazione - Implementato RFC 7301
.
• X.509 RSASSA-PSS Signatures -. MatrixSSL ora supporta l'algoritmo di firma RSASSA-PSS più sicuro in certificati X.509
• Run-Time TLS funzione di controllo - troncato uso HMAC, richieste Massimo Frammento di lunghezza, e la specifica curva ellittica può essere abilitato su una base per-session durante la creazione di una nuova sessione ..
• Modifiche API:
• Diversi -. Si prega di consultare le note di rilascio incluse nel pacchetto per i dettagli

Cosa c'è di nuovo nella versione 3.4.2:

• bug fix e miglioramenti:
• Miglioramento Controlli runtime di certificato Algoritmi contro Cipher Suites Controllo chiave e firma algoritmi pubblici del materiale certificato durante l'inizializzazione e negoziazione suite di cifratura è ora più rigorosa. I server ora guardano l'algoritmo di firma del certificato al momento di negoziare suite di cifratura per garantire il meccanismo di autenticazione è coerente con la suite di cifratura. In questo modo la stretta di mano a fallire nelle prime fasi del processo se il materiale certificato non supporta una suite di cifratura richiesto. Si tratta principalmente di una protezione contro gli errori di configurazione utente perché un server non deve permettere suite di cifratura non è disposta a sostenere. Clienti si confermano l'algoritmo di firma certificato del server come misura preventiva durante l'analisi del messaggio CERTIFICATO. Le versioni precedenti potrebbero terminare la connessione più avanti nel processo di handshake quando l'algoritmo non supportato è stato rilevato per l'operazione chiave pubblica stessa.
• Alert SSL Handshake Inviata il messaggio Creazione Failure versioni precedenti avrebbe silenziosamente terminare la connessione SSL se la creazione messaggio handshake non riuscito. Ora un avviso INTERNAL_ERROR viene inviato prima di chiudere il collegamento.
• Scaduto Ripresa Session Fix supporto server fisso per gli scenari in cui una sessione che è già in uno stato di stretta di mano ripresa sarà correttamente ripiegare per una stretta di mano completo se il client cerca una nuova stretta di mano ripresa dopo la sessione è scaduta nella cache del server .
• Disattiva Yarrow per impostazione predefinita e semplificato PRNG reseeding Il USE_YARROW definiscono ora disabilitato per default in cryptoConfig.h perché le due fonti di entropia di default in grado di raccogliere sono PRNG fonti stesse in modo che non è necessario eseguire i dati attraverso Yarrow. Questo cambiamento si tradurrà in una minore miglioramento velocità di connessione. Se è necessario Yarrow, la logica per la nuova semina che l'algoritmo è stato semplificato per aggiornare solo sulla quantità di dati piuttosto che leggere tra cui il numero di chiamate di funzione per la funzione di recupero PRNG.
• Rimosso il Configuration USE_RSA definire la versione open source di MatrixSSL supporta solo RSA pacchetti di crittografia in modo che la rimozione di questa opzione rende esplicito.
• Applicazioni Carica esempio List CA completa Per facilitare i test, le applicazioni esempio client e server ora caricare l'elenco completo di campione Certificate Authority file quindi una ricompilazione non è necessaria se cambiare il certificato campione di materiale del peer.

Cosa c'è di nuovo nella versione 3.4.1:

• Caratteristiche di sicurezza:
• Lucky Thirteen Contromisure - Un attacco contro cifrario a blocchi padding è stato dimostrato di essere fattibile. Questo riguarda cifrari CBC tra cui AES e 3DES. Questo aggiornamento aggiunge temporizzazione contromisure che riducono l'efficacia di questo attacco.

Cosa c'è di nuovo nella versione 3.1.4:

• Aggiornamenti Feature:
• algoritmi di crittografia primarie ora hanno opzioni di configurazione per il formato vs. compromessi velocità Le versioni precedenti di MatrixSSL avevano un tempo di compilazione non documentato define (SMALL_CODE) che ha influenzato la dimensione del codice binario di alcuni algoritmi di cifratura simmetrica. Ogni algoritmo che utilizza questo definiscono ora è stato dato il suo definiscono per controllare se l'utente vuole costruire la libreria di sostegno algoritmo più veloce a costo di un aumento delle dimensioni codice binario. La dimensione vs compromesso velocità dipende dalla piattaforma, ma, in generale, i miglioramenti di velocità sarà di circa 5% -10% al costo di 10-20KB per ogni algoritmo. L'impostazione predefinita, in ogni caso, è che queste definizioni sono disattivati ​​in cryptoConfig.h compilare in favore di minimo ingombro binario.
• algoritmo RSA ora ha l'opzione di configurazione per l'utilizzo della memoria vs. compromesso velocità. Una coppia di definisce sono stati aggiunti per determinare se l'algoritmo RSA va compilata per l'utilizzo di RAM piccoli o prestazioni più veloci. Il default è di compilare per l'utilizzo di RAM più piccoli.
• I server possono ora disabilitare specifici pacchetti di crittografia in fase di esecuzione - pacchetti di crittografia che sono stati compilati in biblioteca può ora essere programatically disabilitato (e riabilitato) su base per-session. Questo è utile per i server che desiderano limitare le cifre suite supportati per un client di collegamento specifico. Una nuova API, matrixSslSetCipherSuiteEnabledStatus, è stato aggiunto per supportare questa funzionalità. Si prega di consultare la documentazione API MatrixSSL per informazioni dettagliate su questa nuova funzionalità.
• Un progetto Xcode per lo sviluppo iPhone è ora incluso -. Nella directory / iphone apps l'utente può ora trovare un progetto Mac Xcode per lo sviluppo di applicazioni client SSL / TLS per l'iPhone
• compatibilità con i browser Chrome Server che utilizzano "falsa partenza" - Il browser Google Chrome ha introdotto un nuovo meccanismo di protocollo chiamato "falsa partenza", che è incompatibile con rigorose implementazioni TLS che non consentono lo scambio di dati applicazione prima che il protocollo di handshake è completa . Abilitazione ENABLE_FALSE_START in matrixsslConfig.h permetterà versioni più recenti del browser Chrome di connettersi con i server MatrixSSL. Attivata per impostazione predefinita.
• È stato aggiunto un nuovo tipo di dati esplicito Int16 - Il file osdep.h include ora un typedef per un tipo intero a 16 bit chiamata Int16. L'uso interno iniziale di questo nuovo tipo di dati si trova nella funzione pstm.c matematica per migliorare le prestazioni su alcune piattaforme.
• Aggiornato per Luminary Micro / TI esempi Stellaris - aggiornato per supportare la nuova release di esempi di server web sicuri per l'ARM Cortex-M3
.
• Modifiche API pubblica:
• Compila tempo definire per il supporto file system è stato rinominato - Il USE_FILE_SYSTEM definire è stato rinominato per includere un prefisso PS_ in modo che sia ora PS_USE_FILE_SYSTEM. Inoltre, questo definisce non è più presente nel file di intestazione coreConfig.h. Dovrebbe essere incluso in un ambiente piattaforma di costruzione come un tempo di compilazione definire se è necessario il supporto di file system.
• tipi restituiti cambiato per osdep.c routine di apertura e chiusura -. Le funzioni di interfaccia piattaforma implementate in osdep.c hanno subito prototipo modifiche

Cosa c'è di nuovo nella versione 3.1.3:

• Una opzione di configurazione server-side è stata aggiunta per ridurre le dimensioni binario eseguibile con semplici X.509 analisi.
• L'algoritmo PRNG Yarrow è incluso per una forte trasformazione entropia.
• attributi X.509 non ASCII sono supportati in certificati.
• I file di progetto per Windows sono state aggiornate per VS Express 2010.
• Il codice di ritorno è stato chiarito per il matrixSslReceivedData () API.

Cosa c'è di nuovo in versione 3.1:

• Nuova API, esempi e suite di test
• TLS e AES inclusi in open source
• Full handshake SSL richiede & lt ora; 10KB di RAM, tra cui buffer di rete!
• I file di progetto per rendere GNU, Visual Studio e Xcode
• Still & lt; Spazio di codice 50KB!

Cosa c'è di nuovo in versione 1.8.7d:

• Migliorata la gestione di voli contenenti più codificato messaggi di handshake.
• Una migliore analisi delle protetti da password chiavi private.
• Migliorata la gestione di CA ha rilasciato certificati che erroneamente permesso stringhe malformati nel nome di dominio.

Cosa c'è di nuovo nella versione 1.8.6:

Supporto
• ha aggiunto La routine matrixRsaParsePubKey per X.509 SubjectPublicKeyInfo chiavi formattati.
• Vi è il supporto completo analisi dell'estensione subjectAltName in certificati.
• I clienti possono inviare i parametri di compressione più nel messaggio CLIENT_HELLO.
• La routine matrixX509ReadCert supporta intestazione e piè formati PEM supplementare.
• Un errore ortografico nome di file in httpsReflector.c per caricare il certificato esempio CAcertCln.der è stato corretto.