Vor einigen Tagen Matt Caswell, Mitglied des Entwicklungsteams des OpenSSL-Projekts, kündigte die Veröffentlichung von OpenSSL 3.0 an die nach 3 Jahren Entwicklung, 17 Alpha-Versionen, 2 Beta-Versionen, mehr als 7500 Bestätigungen und Beiträgen von mehr als 350 verschiedenen Autoren kommt.
Und es ist dieses OpenSSL hatte das Glück, mehrere Vollzeit-Ingenieure zu haben die an OpenSSL 3.0 gearbeitet haben, auf verschiedene Weise finanziert. Einige Unternehmen haben Supportverträge mit dem OpenSSL-Entwicklungsteam unterzeichnet, das bestimmte Funktionen wie das FIPS-Modul gesponsert hat, das seine Validierung mit OpenSSL 3.0 wiederherstellen wollte 140 beschloss OpenSSL schließlich, sich auch auf die FIPS 2-2021-Standards zu konzentrieren.
Ein wichtiges Merkmal von OpenSSL 3.0 ist das neue FIPS-Modul. Das OpenSSL-Entwicklungsteam testet das Modul und sammelt die notwendigen Dokumente für die FIPS 140-2-Validierung. Die Verwendung des neuen FIPS-Moduls in Anwendungsentwicklungsprojekten kann so einfach sein, wie einige Änderungen an der Konfigurationsdatei vorzunehmen, obwohl viele Anwendungen andere Änderungen vornehmen müssen. Die Manpage des FIPS-Moduls enthält Informationen zur Verwendung des FIPS-Moduls in Ihren Anwendungen.
Es sollte auch beachtet werden, dass seit OpenSSL 3.0 OpenSSL hat auf Apache 2.0 Lizenz umgestellt. Für frühere Versionen (1.1.1 und früher) gelten weiterhin die alten "Dual"-Lizenzen für OpenSSL und SSLeay. OpenSSL 3.0 ist eine Hauptversion und nicht vollständig abwärtskompatibel. Die meisten Anwendungen, die mit OpenSSL 1.1.1 funktionierten, funktionieren unverändert weiter und müssen lediglich neu kompiliert werden (möglicherweise mit vielen Kompilierungswarnungen über die Verwendung veralteter APIs).
Mit OpenSSL 3.0 ist es möglich, entweder programmgesteuert oder über eine Konfigurationsdatei anzugeben, welche Anbieter der Benutzer für eine bestimmte Anwendung verwenden möchte. OpenSSL 3.0 wird standardmäßig mit 5 verschiedenen Anbietern geliefert. Im Laufe der Zeit können Dritte zusätzliche Anbieter vertreiben, die in OpenSSL integriert werden können. Alle Implementierungen von Algorithmen, die von Anbietern erhältlich sind, sind über "High-Level"-APIs zugänglich (z. B. Funktionen mit dem Präfix EVP). Es kann nicht über "Low-Level"-APIs darauf zugegriffen werden.
Einer der verfügbaren Standardanbieter ist der FIPS-Anbieter, der FIPS-validierte kryptografische Algorithmen bereitstellt. Der FIPS-Anbieter ist standardmäßig deaktiviert und muss während der Konfiguration mit der Option enable-fips explizit aktiviert werden. Wenn aktiviert, wird der FIPS-Anbieter zusätzlich zu anderen Standardanbietern erstellt und installiert.
Die Verwendung des neuen FIPS-Moduls in Anwendungen kann so einfach sein, wie einige Änderungen an der Konfigurationsdatei vorzunehmen, obwohl viele Anwendungen andere Änderungen vornehmen müssen. Anwendungen, die für die Verwendung des OpenSSL 3.0-FIPS-Moduls geschrieben wurden, sollten keine älteren APIs oder Funktionen verwenden, die das FIPS-Modul umgehen. Dazu gehören insbesondere:
- Low-Level-Kryptografie-APIs (es wird empfohlen, High-Level-APIs wie EVP zu verwenden);
Motoren - alle Funktionen, die benutzerdefinierte Methoden erstellen oder ändern (z. B. EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
außerdem die kryptografische OpenSSL-Bibliothek (libcrypto) implementiert eine breite Palette von kryptografischen Algorithmen, die in verschiedenen Internetstandards verwendet werden. Die Funktionalität umfasst symmetrische Verschlüsselung, Kryptografie mit öffentlichen Schlüsseln, Schlüsselvereinbarung, Zertifikatsverwaltung, kryptografische Hashing-Funktionen, kryptografische Pseudozufallszahlengeneratoren, Nachrichtenauthentifizierungscodes (MAC), Schlüsselableitungsfunktionen (KDF) und verschiedene Dienstprogramme . Die von dieser Bibliothek bereitgestellten Dienste werden verwendet, um viele andere Produkte und Protokolle von Drittanbietern zu implementieren. Nachfolgend finden Sie eine Übersicht über die Schlüsselkonzepte von libcrypto.
Kryptografische Primitive wie der SHA256-Hash oder die AES-Verschlüsselung werden in OpenSSL als "Algorithmen" bezeichnet. Jeder Algorithmus kann mehrere verfügbare Implementierungen haben. Zum Beispiel ist der RSA-Algorithmus als "Standard"-Implementierung verfügbar, die für den allgemeinen Gebrauch geeignet ist, und als "Fips"-Implementierung, die für Situationen, in denen es wichtig ist, gegen FIPS-Standards validiert wurde. Es ist auch möglich, dass ein Dritter zusätzliche Implementierungen hinzufügt, beispielsweise in einem Hardware-Sicherheitsmodul (HSM).
Schließlich wenn du es wissen möchtest mehr darüber, Sie können die Details überprüfen im folgenden Link.