Před několika dny Matt Caswell, člen vývojového týmu projektu OpenSSL, oznámila vydání OpenSSL 3.0 který přichází po 3 letech vývoje, 17 alfa verzí, 2 beta verze, více než 7500 potvrzení a příspěvky od více než 350 různých autorů.
A právě to je OpenSSL měl štěstí, že měl několik inženýrů na plný úvazek kteří pracovali na OpenSSL 3.0, financovaných různými způsoby. Některé společnosti podepsaly smlouvy o podpoře s vývojovým týmem OpenSSL, který sponzoroval konkrétní funkce, jako je modul FIPS, který měl v plánu obnovit jeho ověření pomocí OpenSSL 3.0, ale došlo k výraznému zpoždění a stejně jako testy FIPS 140-2 skončily v září 2021, OpenSSL se nakonec rozhodl zaměřit své úsilí také na standardy FIPS 140-3.
Klíčový rys pomocí OpenSSL 3.0 je nový modul FIPS. Vývojový tým OpenSSL testuje modul a shromažďuje potřebné dokumenty pro ověření FIPS 140-2. Použití nového modulu FIPS v projektech vývoje aplikací může být stejně snadné jako provedení některých změn v konfiguračním souboru, ačkoli mnoho aplikací bude muset provést další změny. Manuální stránka modulu FIPS poskytuje informace o tom, jak používat modul FIPS ve vašich aplikacích.
Je třeba také poznamenat, že od OpenSSL 3.0, OpenSSL přešel na licenci Apache 2.0. Staré „duální“ licence pro OpenSSL a SSLeay stále platí pro dřívější verze (1.1.1 a starší). OpenSSL 3.0 je hlavní verze a není plně kompatibilní s předchozí verzí. Většina aplikací, které pracovaly s OpenSSL 1.1.1, bude i nadále fungovat beze změny a bude jednoduše nutné je znovu zkompilovat (případně s mnoha varováními ohledně kompilace používání zastaralých API).
S OpenSSL 3.0 je možné určit, buď programově nebo prostřednictvím konfiguračního souboru, které poskytovatele chce uživatel pro danou aplikaci použít. OpenSSL 3.0 je standardně dodáván s 5 různými poskytovateli. V průběhu času mohou třetí strany distribuovat další poskytovatele, které lze integrovat s OpenSSL. Všechny implementace algoritmů, které jsou k dispozici od dodavatelů, jsou přístupné prostřednictvím API „na vysoké úrovni“ (například funkce s předponou EVP). Nelze k němu přistupovat pomocí API „nízké úrovně“.
Jedním ze standardních dostupných poskytovatelů je poskytovatel FIPS, který poskytuje kryptografické algoritmy ověřené FIPS. Poskytovatel FIPS je ve výchozím nastavení zakázán a musí být explicitně povolen během konfigurace pomocí možnosti enable-fips. Pokud je povoleno, bude poskytovatel FIPS vytvořen a nainstalován kromě jiných standardních poskytovatelů.
Použití nového modulu FIPS v aplikacích může být stejně snadné jako provedení některých změn v konfiguračním souboru, ačkoli mnoho aplikací bude muset provést další změny. Aplikace napsané pro použití modulu OpenSSL 3.0 FIPS by neměly používat žádná rozhraní API ani starší funkce, které modul FIPS obcházejí. To zahrnuje zejména:
- Kryptografická API nízké úrovně (doporučuje se používat API vysoké úrovně, jako je EVP);
motory - všechny funkce, které vytvářejí nebo upravují vlastní metody (například EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Na druhou stranu kryptografickou knihovnu OpenSSL (libcrypto) implementuje širokou škálu kryptografických algoritmů používaných v různých internetových standardech. Mezi funkce patří symetrické šifrování, kryptografie veřejného klíče, dohoda o klíči, správa certifikátů, kryptografické hashovací funkce, generátory kryptografických pseudonáhodných čísel, ověřovací kódy zpráv (MAC), funkce odvozování klíčů (KDF) a různé nástroje. Služby poskytované touto knihovnou se používají k implementaci mnoha dalších produktů a protokolů třetích stran. Zde je přehled klíčových konceptů libcrypto níže.
Kryptografickým primitivům, jako je SHA256 hash nebo šifrování AES, se v OpenSSL říká „algoritmy“. Každý algoritmus může mít k dispozici více implementací. Algoritmus RSA je například k dispozici jako „výchozí“ implementace vhodná pro obecné použití a jako „fipsová“ implementace, která byla ověřena podle standardů FIPS pro situace, kde je to důležité. Je také možné, aby třetí strana přidala další implementace, například v modulu zabezpečení hardwaru (HSM).
Konečně pokud máte zájem vědět více o tom, můžete zkontrolovat podrobnosti Na následujícím odkazu.