Au-delà de Linux® From Scratch (édition System V) - Version 12.2

Chapitre 4. Sécurité

GnuTLS-3.8.7.1

Introduction à GnuTLS

Le paquet GnuTLS contient des bibliothèques et des outils utilisateur qui offrent une couche sécurisée pour une couche de transport fiable. La bibliothèque GnuTLS implémente actuellement les standards proposés par le groupe de travail TLS de l'IETF. Pour citer la spécification du protocole TLS 1.3 :

« TLS permet aux applications client/serveur de communiquer sur Internet d'une manière conçue pour empêcher les indiscrétions (écoutes), la falsification ou la contrefaçon de messages. »

GnuTLS fournit un support pour les protocoles TLS 1.3, TLS 1.2, TLS 1.1,TLS 1.0 et (éventuellement) SSL 3.0, les extensions TLS, y compris les noms de serveur et la taille d'enregistrement maximale. En outre, la bibliothèque supporte l'authentification en utilisant le protocole SRP, les certificats X.509 et les clés OpenPGP, tout en supportant l'extension TLS Pre-Shared-Keys (PSK, clés pré-partagées TLS), l'extension d'application Inner (TLS/IA) et la gestion des certificats X.509 et OpenPGP.

Ce paquet est connu pour pouvoir être construit et fonctionner correctement avec une plateform 12.2.

Informations sur le paquet

  • Téléchargement (HTTP) : https://www.gnupg.org/ftp/gcrypt/gnutls/v3.8/gnutls-3.8.7.1.tar.xz

  • Téléchargement (FTP) :

  • Somme de contrôle MD5 du téléchargement : 46777802233eb7203d47a8b8880c8c90

  • Taille du téléchargement : 6,4 Mo

  • Estimation de l'espace disque requis : 154 Mo (plus 115 Mo pour les tests)

  • Estimation du temps de construction : 0,5 SBU (plus 1,5 SBU pour les tests ; les deux avec parallélisme = 8)

[Note]

Note

Lorsque vous extrayez l'archive de ce paquet, elle s'extrait dans le répertoire gnutls-3.8.7, et non le répertoire attendu gnutls-3.8.7.1.

Dépendances de GnuTLS

Requises

Nettle-3.10

Recommandées

make-ca-1.14, libunistring-1.2, libtasn1-4.19.0 et p11-kit-0.25.5

Facultatives

Brotli-1.1.0, Doxygen-1.12.0, GTK-Doc-1.34.0, libidn-1.42 ou libidn2-2.3.7, libseccomp-2.5.5, Net-tools-2.10 (utilisé par la suite de tests), texlive-20240312 ou install-tl-unx, Unbound-1.21.0 (pour construire la bibliothèque DANE), Valgrind-3.23.0 (utilisé par la suite de tests), autogen, cmocka et datefudge (utilisés pendant la suite de tests si la bibliothèque DANE est construite) et Trousers (prise en charge des modules de plateforme de confiance, TPM)

[Note]

Note

Remarquez que si vous n’avez pas installé libtasn1-4.19.0, une ancienne version embarquée dans l'archive de GnuTLS sera utilisée à la place.

Installation de GnuTLS

Installez GnuTLS en exécutant les commandes suivantes : 

./configure --prefix=/usr \
            --docdir=/usr/share/doc/gnutls-3.8.7.1 \
            --with-default-trust-store-pkcs11="pkcs11:" &&
make

Un test freeze la procédure de tests. Désactivez-le : sed '/ocsp-must-staple-connection/d' -i tests/Makefile.. Pour tester les résultats, exécutez maintenant : make check.

Maintenant, installez le paquet en tant qu'utilisateur root : 

make install

Explication des commandes

--with-default-trust-store-pkcs11="pkcs11:" : Ce paramètre dit à gnutls d'utiliser le magasin de confiance PKCS #11 par défaut. N'utilisez pas ce paramètre si p11-kit-0.25.5 n'est pas installé.

--with-default-trust-store-file=/etc/pki/tls/certs/ca-bundle.crt : Ce paramètre indique à configure ou trouver le vieil ensemble de certificats CA et de l'utiliser au lieu du module PKCS #11 par défaut. Utilisez ce paramètre si p11-kit-0.25.5 n'est pas installé.

--enable-gtk-doc : Utilisez ce paramètre si GTK-Doc est installé et si vous souhaitez reconstruire et installer la documentation de l'API.

--enable-openssl-compatibility : Utilisez ce paramètre si vous souhaitez construire la bibliothèque de compatibilité OpenSSL.

--without-p11-kit : utilisez ce paramètre si vous n'avez pas installé p11-kit.

--with-included-unistring : utilise la version incluse de libunistring plutôt que celle du système. Utilisez cette option si vous n'avez pas installé libunistring-1.2.

--disable-dsa : désactive complètement la prise en charge de l'algorithme DSA.

Contenu

Programmes installés: certtool, danetool, gnutls-cli, gnutls-cli-debug, gnutls-serv, ocsptool, p11tool, psktool et srptool
Bibliothèques installées: libgnutls.so, libgnutls-dane.so, libgnutlsxx.so et libgnutls-openssl.so (facultatif)
Répertoires installés: /usr/include/gnutls et /usr/share/doc/gnutls-3.8.7.1

Descriptions courtes

certtool

est utilisé pour générer des certificats X.509, des requêtes de certificat et des clés privées

danetool

est un outil utilisé pour générer et vérifier les enregistrements des ressources DNS pour le protocole DANE

gnutls-cli

est un client simple pour paramétrer une connexion TLS vers un autre ordinateur

gnutls-cli-debug

est un client simple pour paramétrer une connexion TLS à un autre ordinateur et produit des résultats de progression très verbeux

gnutls-serv

est un serveur simple qui écoute les connexions TLS entrantes

ocsptool

est un programme qui peut analyser et afficher des informations sur les requêtes/réponses OCSP, générer des requêtes et vérifier les réponses

p11tool

est un programme qui permet de gérer les données des cartes smart PKCS #11 et des modules de sécurité

psktool

est un programme simple générant des clés aléatoires pour une utilisation avec TLS-PSK

srptool

est un programme simple qui émule les programmes dans les bibliothèques SRP (Secure Remote Password, mot de passe distant sécurisé) de Stanford en utilisant GNU TLS

libgnutls.so

contient les fonctions de l'API du cœur et les fonctions de l'API du certificat X.509