Ja fa diversos dies Matt Caswell, membre de l'equip de desenvolupament de el projecte OpenSSL, va anunciar el llançament d'OpenSSL 3.0 la qual arriba després de 3 anys de desenvolupament, 17 versions alfa, 2 versions beta, més de 7500 confirmacions i contribucions de més de 350 autors diferents.
I és que OpenSSL va tenir la sort d'haver tingut diversos enginyers a temps complet que van treballar en OpenSSL 3.0, finançats de diverses formes. Algunes empreses han signat contractes de suport amb l'equip de desenvolupament d'OpenSSL, que va patrocinar funcions específiques com el mòdul FIPS el qual tenia plans per restaurar la seva validació amb OpenSSL 3.0, però, van trobar retards significatius i, com les proves FIPS 140-2 van finalitzar al setembre de 2021, OpenSSL finalment va decidir centrar els seus esforços en els estàndards FIPS 140-3 també.
Una característica clau d'OpenSSL 3.0 és el nou mòdul FIPS. L'equip de desenvolupament d'OpenSSL està provant el mòdul i reunint els documents necessaris per a la validació FIPS 140-2. Utilitza el nou mòdul FIPS en projectes de desenvolupament d'aplicacions pot ser tan fàcil com fer alguns canvis en el fitxer de configuració, encara que moltes aplicacions necessitaran realitzar altres canvis. La pàgina del manual de la lliçó FIPS proporciona informació sobre la utilització del mòdul FIPS en les seves aplicacions.
També s'ha de tenir en compte que des OpenSSL 3.0, OpenSSL ha canviat a la llicència d'Apache 2.0. Les antigues llicències «duals» d'OpenSSL i SSLeay encara s'apliquen a les versions anteriors (1.1.1 i anteriors). OpenSSL 3.0 és una versió principal i no és totalment compatible amb la versió anterior. La majoria de les aplicacions que van funcionar amb OpenSSL 1.1.1 seguiran funcionant sense canvis i simplement hauran de tornar a compilar (possiblement amb moltes advertències de compilació sobre l'ús d'API obsoletes).
Amb OpenSSL 3.0, és possible especificar, ja sigui mitjançant programació o mitjançant un fitxer de configuració, quins proveïdors voleu utilitzar l'usuari per a una aplicació determinada. OpenSSL 3.0 ve de sèrie amb 5 proveïdors diferents. Amb el temps, els tercers poden distribuir proveïdors addicionals que es poden integrar amb OpenSSL. Totes les implementacions dels algoritmes disponibles a través dels proveïdors són accessibles a través d'API de «alt nivell» (per exemple, funcions amb el prefix EVP). No és possible accedir-hi utilitzant API de «baix nivell».
Un dels proveïdors estàndard disponibles és el proveïdor FIPS el qual proporciona algoritmes criptogràfics validats per FIPS. El proveïdor de FIPS està deshabilitat per defecte i s'ha d'habilitar explícitament durant la configuració mitjançant l'opció enable-fips. Si està habilitat, el proveïdor FIPS es crea i instal a més d'altres proveïdors estàndard.
Utilitza el nou mòdul FIPS en aplicacions pot ser tan fàcil com fer alguns canvis en el fitxer de configuració, encara que moltes aplicacions necessitaran realitzar altres canvis. Les aplicacions escrites per utilitzar el mòdul FIPS de OpenSSL 3.0 no han d'usar cap API o característiques heretades que ometin el mòdul FIPS. Això inclou en particular:
- API criptogràfiques de baix nivell (es recomana utilitzar API d'alt nivell, com EVP);
motors - totes les funcions que creen o modifiquen mètodes personalitzats (per exemple, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
D'altra banda la biblioteca criptogràfica OpenSSL (Libcrypto) implementa una àmplia gamma d'algoritmes criptogràfics utilitzats en diversos estàndards d'Internet. La funcionalitat inclou xifrat simètric, criptografia de clau pública, acord de clau, gestió de certificats, funcions de hash criptogràfiques, generadors de nombres pseudoaleatoris criptogràfics, codis d'autenticació de missatges (MAC), funcions de derivació de claus (KDF) i diverses utilitats . Els serveis proporcionats per aquesta biblioteca s'utilitzen per implementar molts altres productes i protocols de tercers. Aquí hi ha una descripció general dels conceptes clau de libcrypto a continuació.
Les primitives criptogràfiques com el hash SHA256 o el xifrat AES s'anomenen «algoritmes» en OpenSSL. Cada algoritme pot tenir diverses implementacions disponibles. Per exemple, l'algorisme RSA està disponible com una implementació «per defecte» adequada per a ús general, i una implementació «fips» que ha estat validada segons els estàndards FIPS per a situacions en què és important. També és possible que un tercer afegeixi implementacions addicionals, per exemple, en un mòdul de seguretat de maquinari (HSM).
Finalment si estàs interessat en conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.