Prije nekoliko dana Matt Caswell, član razvojnog tima projekta OpenSSL, najavio je izdavanje OpenSSL 3.0 koji dolazi nakon 3 godine razvoja, 17 alfa verzija, 2 beta verzije, više od 7500 potvrda i doprinosa više od 350 različitih autora.
I to je taj OpenSSL imao sam sreću da sam imao nekoliko stalno zaposlenih inženjera koji je radio na OpenSSL 3.0, finansiran na različite načine. Neke su kompanije potpisale ugovore o podršci s razvojnim timom OpenSSL-a, koji je sponzorirao određene funkcije, poput FIPS modula koji je planirao obnoviti njegovu valjanost s OpenSSL 3.0, međutim, naišli su na značajna kašnjenja i, poput FIPS 140-2 testova koji su završeni u rujnu 2021, OpenSSL je konačno odlučio usmjeriti svoje napore i na FIPS 140-3 standarde.
Ključna karakteristika od OpenSSL 3.0 je novi FIPS modul. Tim za razvoj OpenSSL-a testira modul i prikuplja potrebne dokumente za provjeru valjanosti FIPS 140-2. Korištenje novog FIPS modula u projektima razvoja aplikacija može biti jednostavno kao i unošenje nekih promjena u konfiguracijsku datoteku, iako će mnoge aplikacije morati napraviti druge promjene. Početna stranica FIPS modula pruža informacije o tome kako koristiti FIPS modul u vašim aplikacijama.
Također treba napomenuti da od OpenSSL 3.0, OpenSSL prešao je na licencu Apache 2.0. Stare "dvostruke" licence za OpenSSL i SSLeay i dalje se primjenjuju na starije verzije (1.1.1 i starije). OpenSSL 3.0 je glavna verzija i nije u potpunosti kompatibilan sa unatrag. Većina aplikacija koje su radile sa OpenSSL 1.1.1 nastavit će raditi nepromijenjeno i jednostavno ih je potrebno ponovno kompajlirati (vjerovatno s mnogim upozorenjima o kompilaciji o korištenju zastarjelih API -ja).
Uz OpenSSL 3.0, moguće je programski ili putem konfiguracijske datoteke odrediti koje dobavljače korisnik želi koristiti za datu aplikaciju. OpenSSL 3.0 standardno dolazi s 5 različitih pružatelja usluga. Vremenom, treće strane mogu distribuirati dodatne dobavljače koji se mogu integrirati s OpenSSL -om. Svim implementacijama algoritama dostupnih od dobavljača pristupa se putem API-ja na visokom nivou (na primjer, funkcija s prefiksom EVP). Ne može mu se pristupiti pomoću API-ja na "niskom nivou".
Jedan od standardnih dostupnih dobavljača je FIPS provajder koji pruža FIPS provjerene kriptografske algoritme. FIPS provajder je podrazumevano onemogućen i mora biti eksplicitno omogućen tokom konfiguracije korišćenjem opcije enable-fips. Ako je omogućeno, FIPS dobavljač se kreira i instalira pored ostalih standardnih dobavljača.
Upotreba novog FIPS modula u aplikacijama može biti jednostavna kao i unošenje nekih promjena u konfiguracijsku datoteku, iako će mnoge aplikacije morati napraviti druge promjene. Aplikacije napisane za korištenje OpenSSL 3.0 FIPS modula ne bi trebale koristiti stare API -je ili funkcije koje zaobilaze FIPS modul. To posebno uključuje:
- Kriptografski API niskog nivoa (preporučuje se upotreba API-ja na visokom nivou, poput EVP-a);
Motores - sve funkcije koje stvaraju ili mijenjaju prilagođene metode (na primjer, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Sa druge strane OpenSSL kriptografsku biblioteku (libcrypto) implementira širok raspon kriptografskih algoritama koji se koriste u različitim internetskim standardima. Funkcionalnost uključuje simetrično šifriranje, kriptografiju s javnim ključem, dogovor s ključevima, upravljanje certifikatima, kriptografske funkcije raspršivanja, generirače kriptografskih pseudo-slučajnih brojeva, kodove za provjeru autentičnosti poruka (MAC), funkcije izvođenja ključeva (KDF) i razne pomoćne programe. Usluge koje pruža ova biblioteka koriste se za implementaciju mnogih drugih proizvoda i protokola trećih strana. Slijedi pregled ključnih koncepata libcrypto u nastavku.
Kriptografski primitivi, poput SHA256 hash ili AES enkripcije, nazivaju se "algoritmi" u OpenSSL -u. Svaki algoritam može imati na raspolaganju više implementacija. Na primjer, RSA algoritam je dostupan kao "zadana" implementacija pogodna za opću upotrebu i "fips" implementacija koja je provjerena prema FIPS standardima za situacije u kojima je to važno. Takođe je moguće da treće strane dodaju dodatne implementacije, na primjer u hardverski sigurnosni modul (HSM).
Konačno ako ste zainteresovani da znate više o tome, možete provjeriti detalje Na sledećem linku.