Re: Compilar Postgresql sin OpenSSL con LibreSSL u otra similar

On Thu, 11 Feb 2016 13:42:50 -0300
Alvaro Herrera <alvherre(at)2ndquadrant(dot)com> wrote:

> Eduardo Morras escribió:
>
> > No, puede que no me haya explicado bien, el cliente SI quiere
> > SSL/TLS, pero no la implementacion de OpenSSL. Las aplicaciones
> > usan LibreSSL,
> > modificando /postgresql/src/interfaces/libpq/fe-secure-openssl.c y
> > cambiado de nombre a fe-secure-libressl.c para que compile con
> > libressl (cambios minimos, ya que tiene modo de compatibilidad con
> > openssl)
> >
> > Las dos opciones que tengo en mente, son:
> >
> > a) Compilar PostgreSQL con LibreSSL u otra implementacion, como
> > mbedtls/polarssl o nss.
> > b) Poner en la misma maquina que el servidor pgbouncer, compilado
> > con LibreSSL. Las conexiones de los clientes a pgbouncer son
> > seguras y entre pgbouncer y PostgreSQL no creo que hagan falta al
> > compartir maquina.
>
> Heikki Linnakangas inició hace un par de años un proyecto para
> permitir que Postgres sea "agnóstico a la implementación SSL", de
> manera que se puedan usar otras bibliotecas como LibreSSL, GnuTLS,
> Schannel (Windows), Mozilla NSS, para la implementación subyacente.
> Lo que está hecho hasta el momento es que la parte de OpenSSL está
> encapsulada en ese archivo be-secure-openssl.c; lo que falta es
> permitir que otras bibliotecas ofrezcan una API similar para poder
> tener be-secure-schannel.c etc.

Ahh..., entonces tambien hay que modificar el src/backend/libpq? Solo estaba modificando el src/interfaces/libpq. Supongo que uno sera para el servidor y el otro para clientes.

> La gracia de LibreSSL es que es muy similar a OpenSSL y debería ser
> posible crear un be-secure-libressl.c a partir del -openssl.c sin
> demasiado trabajo. Si lo haces, quizás podrías considerar la idea de
> transformar eso en un parche para Postgres y enviarlo a pg-hackers.
> En cambio, hacerlo con PolarSSL o alguna de las otras deber ser un
> esfuerzo mucho mayor (y por lo tanto si lo haces, definitivamente
> envía el parche a -hackers).

Son muy similares, en muchos proyectos basta con cambiar el makefile ya que la API de LibreSSL tiene un modo de compatibilidad 100%. Esta parte del proyecto he conseguido ponerla bajo licencia tipo BSD o similar (Mit,Isc, Postgresql, BSD2-clause, x11..) como pago por el uso de Postgresql.

> BTW tengo entendido que SSL incluso en SSLv3 tiene problemas de
> seguridad bastante severos, y sólo TLS v1.2 debería considerarse
> ahora.

De hecho en fe-secure-openssl.c sslv2 y sslv3 estan deshabilitados. Hay comentarios en el codigo que explican que no son seguros y que solo se usa TLS.

Muchas gracias

> --
> Álvaro Herrera http://www.2ndQuadrant.com/
> PostgreSQL Development, 24x7 Support, Remote DBA, Training & Services
>

--- ---
Eduardo Morras <emorrasg(at)yahoo(dot)es>

-
Enviado a la lista de correo pgsql-es-ayuda (pgsql-es-ayuda(at)postgresql(dot)org)
Para cambiar tu suscripción:
http://www.postgresql.org/mailpref/pgsql-es-ayuda