For flere dage siden Matt Caswell, medlem af udviklingsteamet i OpenSSL -projektet, annoncerede udgivelsen af OpenSSL 3.0 som kommer efter 3 års udvikling, 17 alfa -versioner, 2 beta -versioner, mere end 7500 bekræftelser og bidrag fra mere end 350 forskellige forfattere.
Og det er den OpenSSL var heldig at have haft flere fuldtidsingeniører der arbejdede på OpenSSL 3.0, finansieret på forskellige måder. Nogle virksomheder har underskrevet supportkontrakter med OpenSSL-udviklingsteamet, der sponsorerede specifikke funktioner såsom FIPS-modulet, der havde planer om at genoprette dets validering med OpenSSL 3.0, men de stødte på betydelige forsinkelser, og ligesom FIPS 140-2-testene sluttede i september 2021 besluttede OpenSSL endelig også at fokusere sin indsats på FIPS 140-3-standarder.
En nøglefunktion af OpenSSL 3.0 er det nye FIPS -modul. OpenSSL-udviklingsteamet tester modulet og samler de nødvendige dokumenter til FIPS 140-2-validering. Brug af det nye FIPS -modul i applikationsudviklingsprojekter kan være lige så let som at foretage nogle ændringer i konfigurationsfilen, selvom mange applikationer skal foretage andre ændringer. FIPS -modulmandsiden indeholder oplysninger om, hvordan du bruger FIPS -modulet i dine applikationer.
Det skal også bemærkes, at siden OpenSSL 3.0, OpenSSL er skiftet til Apache 2.0 -licens. De gamle "dobbelte" licenser til OpenSSL og SSLeay gælder stadig for tidligere versioner (1.1.1 og tidligere). OpenSSL 3.0 er en større version og er ikke fuldstændig bagudkompatibel. De fleste applikationer, der arbejdede med OpenSSL 1.1.1, vil fortsat fungere uændret og skal simpelthen genkompileres (muligvis med mange kompilationsadvarsler om brug af forældede API'er).
Med OpenSSL 3.0 er det muligt at angive, enten programmatisk eller gennem en konfigurationsfil, hvilke udbydere brugeren ønsker at bruge til en given applikation. OpenSSL 3.0 leveres som standard med 5 forskellige udbydere. Over tid kan tredjeparter distribuere yderligere udbydere, der kan integreres med OpenSSL. Alle implementeringer af algoritmer, der er tilgængelige fra leverandører, er tilgængelige via "højt niveau" API'er (f.eks. Funktioner med præfikset EVP). Det kan ikke tilgås ved hjælp af "low-level" API'er.
En af de tilgængelige standardudbydere er FIPS -udbyderen, der leverer FIPS -validerede kryptografiske algoritmer. FIPS-udbyderen er som standard deaktiveret og skal eksplicit aktiveres under konfigurationen ved hjælp af indstillingen enable-fips. Hvis den er aktiveret, oprettes og installeres FIPS -udbyderen ud over andre standardudbydere.
Brug af det nye FIPS -modul i applikationer kan være lige så let som at foretage nogle ændringer i konfigurationsfilen, selvom mange applikationer skal foretage andre ændringer. Programmer, der er skrevet til at bruge OpenSSL 3.0 FIPS -modulet, bør ikke bruge nogen ældre API'er eller funktioner, der omgår FIPS -modulet. Dette omfatter især:
- Kryptografiske API'er på lavt niveau (det anbefales at bruge API'er på højt niveau, f.eks. EVP);
motores - alle funktioner, der opretter eller ændrer tilpassede metoder (f.eks. EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
På den anden side OpenSSL kryptografiske bibliotek (libcrypto) implementerer en lang række kryptografiske algoritmer, der bruges i forskellige internetstandarder. Funktionalitet omfatter symmetrisk kryptering, offentlig nøglekryptografi, nøgleaftale, certifikathåndtering, kryptografiske hashfunktioner, kryptografiske pseudo-tilfældige talgeneratorer, meddelelsesautentificeringskoder (MAC), nøglederiveringsfunktioner (KDF) og forskellige hjælpeprogrammer. Tjenesterne fra dette bibliotek bruges til at implementere mange andre tredjepartsprodukter og protokoller. Her er en oversigt over de vigtigste libcrypto -begreber herunder.
Kryptografiske primitiver, såsom SHA256 -hash eller AES -kryptering, kaldes "algoritmer" i OpenSSL. Hver algoritme kan have flere tilgængelige implementeringer. For eksempel er RSA -algoritmen tilgængelig som en "standard" -implementering, der er egnet til generel brug, og en "fips" -implementering, der er blevet valideret mod FIPS -standarder i situationer, hvor den er vigtig. Det er også muligt for en tredjepart at tilføje yderligere implementeringer, f.eks. I et hardware -sikkerhedsmodul (HSM).
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne I det følgende link.