Преди няколко дни Мат Касуел, член на екипа за развитие на проекта OpenSSL, обяви пускането на OpenSSL 3.0 който идва след 3 години развитие, 17 алфа версии, 2 бета версии, повече от 7500 потвърждения и приноси от повече от 350 различни автори.
И това е OpenSSL имах късмета да имам няколко инженери на пълен работен ден който е работил по OpenSSL 3.0, финансиран по различни начини. Някои компании са подписали договори за поддръжка с екипа за разработка на OpenSSL, който е спонсорирал специфични функции като модула FIPS, който е планирал да възстанови валидирането си с OpenSSL 3.0, но те са срещнали значителни забавяния и, подобно на тестовете FIPS 140-2, приключили през септември 2021 г. OpenSSL най-накрая реши да съсредоточи усилията си и върху стандартите FIPS 140-3.
Ключова характеристика от OpenSSL 3.0 е новият модул FIPS. Екипът за разработка на OpenSSL тества модула и събира необходимите документи за валидиране на FIPS 140-2. Използването на новия модул FIPS в проекти за разработка на приложения може да бъде толкова лесно, колкото и да направите някои промени в конфигурационния файл, въпреки че много приложения ще трябва да направят други промени. Началната страница на модула FIPS предоставя информация за това как да използвате модула FIPS във вашите приложения.
Трябва също така да се отбележи, че тъй като OpenSSL 3.0, OpenSSL е преминал към лиценз Apache 2.0. Старите „двойни“ лицензи за OpenSSL и SSLeay все още важат за по -ранните версии (1.1.1 и по -ранни). OpenSSL 3.0 е основна версия и не е напълно съвместима с предишната версия. Повечето приложения, които са работили с OpenSSL 1.1.1, ще продължат да работят непроменени и просто ще трябва да бъдат прекомпилирани (вероятно с много предупреждения за компилация за използване на остарели API).
С OpenSSL 3.0 е възможно да се посочи, програмно или чрез конфигурационен файл, кои доставчици потребителят иска да използва за дадено приложение. OpenSSL 3.0 се предлага стандартно с 5 различни доставчици. С течение на времето трети страни могат да разпространяват допълнителни доставчици, които могат да бъдат интегрирани с OpenSSL. Всички реализации на алгоритми, налични от доставчиците, са достъпни чрез API на „високо ниво“ (например функции с префикс EVP). Не може да бъде достъпен чрез „ниско ниво“ API.
Един от стандартните налични доставчици е доставчикът на FIPS, който предоставя валидирани по криптографски алгоритми FIPS. Доставчикът на FIPS е деактивиран по подразбиране и трябва да бъде разрешен изрично по време на конфигурирането, като се използва опцията enable-fips. Ако е разрешено, доставчикът на FIPS се създава и инсталира в допълнение към други стандартни доставчици.
Използването на новия модул FIPS в приложения може да бъде толкова лесно, колкото и да направите някои промени в конфигурационния файл, въпреки че много приложения ще трябва да направят други промени. Приложенията, написани за използване на модула на OpenSSL 3.0 FIPS, не трябва да използват наследствени API или функции, които заобикалят модула FIPS. Това включва по -специално:
- Криптографски API на ниско ниво (препоръчително е да се използват API на високо ниво, като EVP);
Motores - всички функции, които създават или променят персонализирани методи (например EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
От друга страна криптографската библиотека на OpenSSL (libcrypto) реализира широк спектър от криптографски алгоритми, използвани в различни интернет стандарти. Функционалността включва симетрично криптиране, криптография с публичен ключ, споразумение за ключ, управление на сертификати, криптографски хеширащи функции, генератори на криптографски псевдослучайни числа, кодове за удостоверяване на съобщение (MAC), функции за извеждане на ключове (KDF) и различни помощни програми. Услугите, предоставяни от тази библиотека, се използват за внедряване на много други продукти и протоколи на трети страни. Ето преглед на ключовите концепции на libcrypto по -долу.
Криптографските примитиви като SHA256 хеш или AES криптиране се наричат "алгоритми" в OpenSSL. Всеки алгоритъм може да има на разположение множество реализации. Например алгоритъмът RSA е достъпен като „стандартна“ реализация, подходяща за обща употреба, и „fips“ реализация, която е валидирана по стандартите на FIPS за ситуации, в които е важна. Възможно е също така трета страна да добави допълнителни реализации, например в хардуерен модул за защита (HSM).
Накрая ако се интересувате да знаете повече за това, можете да проверите подробностите В следващия линк.