قبل عدة أيام مات كاسويل عضو فريق تطوير مشروع OpenSSL ، عن إصدار OpenSSL 3.0 الذي يأتي بعد 3 سنوات من التطوير ، و 17 إصدارًا ألفا ، ونسختين تجريبية ، وأكثر من 2 تأكيدًا ومساهمة من أكثر من 7500 مؤلفًا مختلفًا.
وهذا هو OpenSSL كان محظوظًا لوجود العديد من المهندسين المتفرغين الذين عملوا على OpenSSL 3.0 ، ممول بطرق مختلفة. وقعت بعض الشركات عقود دعم مع فريق تطوير OpenSSL ، الذي رعى وظائف محددة مثل وحدة FIPS التي كانت تخطط لاستعادة التحقق من صحتها باستخدام OpenSSL 3.0 ، ومع ذلك ، فقد واجهوا تأخيرات كبيرة ، ومثل اختبارات FIPS 140-2 انتهت في سبتمبر في عام 2021 ، قررت OpenSSL أخيرًا تركيز جهودها على معايير FIPS 140-3 أيضًا.
ميزة رئيسية بواسطة OpenSSL 3.0 هي وحدة FIPS الجديدة. يقوم فريق تطوير OpenSSL باختبار الوحدة النمطية وجمع المستندات اللازمة للتحقق من صحة FIPS 140-2. يمكن أن يكون استخدام وحدة FIPS الجديدة في مشروعات تطوير التطبيقات بنفس سهولة إجراء بعض التغييرات على ملف التكوين ، على الرغم من أن العديد من التطبيقات ستحتاج إلى إجراء تغييرات أخرى. توفر صفحة دليل وحدة FIPS معلومات حول كيفية استخدام وحدة FIPS في تطبيقاتك.
وتجدر الإشارة أيضًا إلى أنه منذ OpenSSL 3.0 و OpenSSL تحول إلى ترخيص Apache 2.0. لا تزال التراخيص "المزدوجة" القديمة لـ OpenSSL و SSLeay سارية على الإصدارات السابقة (1.1.1 والإصدارات الأقدم). يعد OpenSSL 3.0 إصدارًا رئيسيًا ولا يتوافق تمامًا مع الإصدار السابق. ستستمر معظم التطبيقات التي عملت مع OpenSSL 1.1.1 في العمل دون تغيير وستحتاج ببساطة إلى إعادة تجميعها (ربما مع العديد من تحذيرات التجميع حول استخدام واجهات برمجة التطبيقات القديمة).
باستخدام OpenSSL 3.0 ، من الممكن تحديد الموفرين الذي يريد المستخدم استخدامه لتطبيق معين ، إما برمجيًا أو من خلال ملف التكوين. يأتي OpenSSL 3.0 بشكل قياسي مع 5 مزودين مختلفين. بمرور الوقت ، قد توزع الجهات الخارجية موفرين إضافيين يمكن دمجهم مع OpenSSL. يمكن الوصول إلى جميع تطبيقات الخوارزميات المتاحة من البائعين عبر واجهات برمجة التطبيقات "عالية المستوى" (على سبيل المثال ، الوظائف ذات البادئة EVP). لا يمكن الوصول إليه باستخدام واجهات برمجة التطبيقات "منخفضة المستوى".
أحد الموفرين القياسيين المتاحين هو موفر FIPS الذي يوفر خوارزميات تشفير تم التحقق من صحتها من خلال FIPS. يتم تعطيل موفر FIPS افتراضيًا ويجب تمكينه بشكل صريح أثناء التكوين باستخدام خيار fips. في حالة التمكين ، يتم إنشاء موفر FIPS وتثبيته بالإضافة إلى الموفرين القياسيين الآخرين.
يمكن أن يكون استخدام وحدة FIPS الجديدة في التطبيقات سهلاً مثل إجراء بعض التغييرات على ملف التكوين ، على الرغم من أن العديد من التطبيقات ستحتاج إلى إجراء تغييرات أخرى. يجب ألا تستخدم التطبيقات المكتوبة لاستخدام وحدة OpenSSL 3.0 FIPS أي واجهات برمجة تطبيقات قديمة أو ميزات تتجاوز وحدة FIPS. وهذا يشمل على وجه الخصوص:
- واجهات برمجة تطبيقات التشفير منخفضة المستوى (يوصى باستخدام واجهات برمجة التطبيقات عالية المستوى ، مثل EVP) ؛
محركات - جميع الوظائف التي تنشئ أو تعدل أساليب مخصصة (على سبيل المثال ، EVP_MD_meth_new () ، EVP_CIPHER_meth_new () ، EVP_PKEY_meth_new () ، RSA_meth_new () ، EC_KEY_METHOD_new ()).
من ناحية أخرى مكتبة تشفير OpenSSL (ليبكريبتو) تنفذ مجموعة واسعة من خوارزميات التشفير المستخدمة في معايير الإنترنت المختلفة. تتضمن الوظائف التشفير المتماثل ، وتشفير المفتاح العام ، واتفاقية المفتاح ، وإدارة الشهادات ، ووظائف التجزئة المشفرة ، ومولدات الأرقام العشوائية المشفرة ، وأكواد مصادقة الرسائل (MAC) ، ووظائف اشتقاق المفتاح (KDF) ، والعديد من الأدوات المساعدة. تُستخدم الخدمات التي توفرها هذه المكتبة لتنفيذ العديد من المنتجات والبروتوكولات الأخرى الخاصة بأطراف أخرى. فيما يلي نظرة عامة على مفاهيم libcrypto الرئيسية أدناه.
تسمى العناصر الأساسية للتشفير مثل تجزئة SHA256 أو تشفير AES "الخوارزميات" في OpenSSL. يمكن أن يكون لكل خوارزمية تطبيقات متعددة متاحة. على سبيل المثال ، خوارزمية RSA متاحة كتطبيق "افتراضي" مناسب للاستخدام العام ، وتطبيق "fips" الذي تم التحقق من صحته مقابل معايير FIPS للمواقف التي يكون فيها مهمًا. من الممكن أيضًا لطرف ثالث إضافة تطبيقات إضافية ، على سبيل المثال في وحدة أمان الأجهزة (HSM).
أخيرا إذا كنت مهتمًا بالمعرفة المزيد حول هذا الموضوع ، يمكنك التحقق من التفاصيل في الرابط التالي.