tor v0.2.3.25 SSL Bug

[mk3033]

daemon.notice Tor[4544]: No AES engine found; using AES_* functions.
daemon.notice Tor[4544]: This version of OpenSSL has a slow implementation of counter mode; not using it.
daemon.notice Tor[4544]: We weren't able to find support for all of the TLS ciphersuites that we wanted to advertise. This won't hurt security, but it might make your Tor (if run as a client) more easy for censors to block.

https://blog.torproject.org/blog/new-bundles

warum benutzt freetz diese defekte tor version ?

 

[meiser79]

Gegen welche SSL-Version hast Du gelinkt?

Und als Randbemerkung: Wir verwenden diese "defekte" Tor-Version, weil sie auf der Download-Seite als stable angeboten wird. Was soll eigentlich diese provokative Frage? Kann man das nicht höflicher formulieren?

EDIT:

Aus dem Tor Source-Code (https://fossies.org/linux/privat/tor-0.2.4.17-rc.tar.gz:a/tor-0.2.4.17-rc/src/common/aes.c):

   70 /* We have 2 strategies for getting the AES block cipher: Via OpenSSL's
   71  * AES_encrypt function, or via OpenSSL's EVP_EncryptUpdate function.
   72  *
   73  * If there's any hardware acceleration in play, we want to be using EVP_* so
   74  * we can get it.  Otherwise, we'll want AES_*, which seems to be about 5%
   75  * faster than indirecting through the EVP layer.
   76  */
   77 
   78 /* We have 2 strategies for getting a plug-in counter mode: use our own, or
   79  * use OpenSSL's.
   80  *
   81  * Here we have a counter mode that's faster than the one shipping with
   82  * OpenSSL pre-1.0 (by about 10%!).  But OpenSSL 1.0.0 added a counter mode
   83  * implementation faster than the one here (by about 7%).  So we pick which
   84  * one to used based on the Openssl version above.  (OpenSSL 1.0.0a fixed a
   85  * critical bug in that counter mode implementation, so we need to test to
   86  * make sure that we have a fixed version.)
   87  */

Das bedeutet, dass die von Dir zitierte Meldung rein informativ ist, da Tor dann die eigene "counter mode"-Implementation benutzt statt die von OpenSSL.

 

[mk3033]

Ssl

danke für die info, die meldung kommt bei allen versionen (trunk, stable, unstable), OpenSSL 0.9.x, 1.0.1b etc.

https://lists.torproject.org/pipermail/tor-dev/2012-July/003775.html
http://article.gmane.org/gmane.network.tor.devel/1490

und bei stable freetz 1.2 fehlt mir noch die Firmware, für die 7240 gibt es auch nicht mehr ....


Gruß

 

[meiser79]

Dann muss wohl optimiert werden. Schau Dir mal die Datei make/openssl/openssl.mk an und passe sie für Tor entsprechend an.