Πριν από αρκετές ημέρες Ματ Κάσγουελ, μέλος της ομάδας ανάπτυξης του έργου OpenSSL, ανακοίνωσε την κυκλοφορία του OpenSSL 3.0 που έρχεται μετά από 3 χρόνια ανάπτυξης, 17 εκδόσεις άλφα, 2 εκδόσεις beta, περισσότερες από 7500 επιβεβαιώσεις και συνεισφορές από περισσότερους από 350 διαφορετικούς συγγραφείς.
Και είναι αυτό το OpenSSL είχε την τύχη να είχε αρκετούς μηχανικούς πλήρους απασχόλησης που εργάστηκε στο OpenSSL 3.0, χρηματοδοτούμενο με διάφορους τρόπους. Ορισμένες εταιρείες έχουν υπογράψει συμβόλαια υποστήριξης με την ομάδα ανάπτυξης OpenSSL, η οποία χρηματοδότησε συγκεκριμένες λειτουργίες όπως το module FIPS που είχε σχέδια να επαναφέρει την επικύρωσή του με το OpenSSL 3.0, ωστόσο, αντιμετώπισαν σημαντικές καθυστερήσεις και, όπως και οι δοκιμές FIPS 140-2 που έληξαν τον Σεπτέμβριο 2021, η OpenSSL αποφάσισε τελικά να εστιάσει τις προσπάθειές της και στα πρότυπα FIPS 140-3.
Ένα βασικό χαρακτηριστικό από το OpenSSL 3.0 είναι η νέα ενότητα FIPSΤο Η ομάδα ανάπτυξης OpenSSL δοκιμάζει τη μονάδα και συγκεντρώνει τα απαραίτητα έγγραφα για την επικύρωση FIPS 140-2. Η χρήση της νέας μονάδας FIPS σε έργα ανάπτυξης εφαρμογών μπορεί να είναι τόσο εύκολη όσο η πραγματοποίηση ορισμένων αλλαγών στο αρχείο διαμόρφωσης, αν και πολλές εφαρμογές θα χρειαστεί να κάνουν άλλες αλλαγές. Η αρχική σελίδα της ενότητας FIPS παρέχει πληροφορίες σχετικά με τον τρόπο χρήσης της μονάδας FIPS στις εφαρμογές σας.
Θα πρέπει επίσης να σημειωθεί ότι από το OpenSSL 3.0, OpenSSL έχει μεταβεί στην άδεια Apache 2.0Το Οι παλιές "διπλές" άδειες για OpenSSL και SSLeay εξακολουθούν να ισχύουν για παλαιότερες εκδόσεις (1.1.1 και παλαιότερες εκδόσεις). Το OpenSSL 3.0 είναι μια σημαντική έκδοση και δεν είναι πλήρως συμβατό με την προηγούμενη έκδοση. Οι περισσότερες εφαρμογές που λειτουργούσαν με το OpenSSL 1.1.1 θα συνεχίσουν να λειτουργούν αναλλοίωτες και θα πρέπει απλώς να επανασχεδιαστούν (πιθανώς με πολλές προειδοποιήσεις κατάρτισης σχετικά με τη χρήση παρωχημένων API).
Με το OpenSSL 3.0, είναι δυνατό να καθορίσετε, είτε μέσω προγραμματισμού είτε μέσω ενός αρχείου διαμόρφωσης, τους παρόχους που θέλει να χρησιμοποιήσει ο χρήστης για μια δεδομένη εφαρμογήΤο Το OpenSSL 3.0 διατίθεται στάνταρ με 5 διαφορετικούς παρόχους. Με την πάροδο του χρόνου, τρίτα μέρη μπορούν να διανείμουν πρόσθετους παρόχους που μπορούν να ενσωματωθούν με το OpenSSL. Όλες οι εφαρμογές αλγορίθμων που διατίθενται από προμηθευτές είναι προσβάσιμες μέσω API "υψηλού επιπέδου" (για παράδειγμα, συναρτήσεις με το πρόθεμα EVP). Δεν είναι δυνατή η πρόσβαση σε αυτό χρησιμοποιώντας API "χαμηλού επιπέδου".
Ένας από τους τυπικούς διαθέσιμους παρόχους είναι ο πάροχος FIPS που παρέχει κρυπτογραφικούς αλγόριθμους με επικύρωση FIPS. Ο πάροχος FIPS είναι απενεργοποιημένος από προεπιλογή και πρέπει να είναι ρητά ενεργοποιημένος κατά τη διαμόρφωση χρησιμοποιώντας την επιλογή ενεργοποίησης-ενεργοποίησης. Εάν είναι ενεργοποιημένη, ο πάροχος FIPS δημιουργείται και εγκαθίσταται επιπλέον των άλλων τυπικών παρόχων.
Η χρήση της νέας μονάδας FIPS σε εφαρμογές μπορεί να είναι τόσο εύκολη όσο η πραγματοποίηση ορισμένων αλλαγών στο αρχείο διαμόρφωσης, αν και πολλές εφαρμογές θα χρειαστεί να κάνουν άλλες αλλαγές. Οι εφαρμογές που έχουν γραφτεί για να χρησιμοποιήσουν τη λειτουργική μονάδα FIPS OpenSSL 3.0 δεν πρέπει να χρησιμοποιούν κανένα API ή παλαιότερες λειτουργίες που παρακάμπτουν την ενότητα FIPS. Αυτό περιλαμβάνει ειδικότερα:
- Κρυπτογραφικά API χαμηλού επιπέδου (συνιστάται η χρήση API υψηλού επιπέδου, όπως το EVP).
μηχανές - όλες οι συναρτήσεις που δημιουργούν ή τροποποιούν προσαρμοσμένες μεθόδους (για παράδειγμα, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ())).
εξάλλου την κρυπτογραφική βιβλιοθήκη OpenSSL (libcrypto) υλοποιεί ένα ευρύ φάσμα κρυπτογραφικών αλγορίθμων που χρησιμοποιούνται σε διάφορα πρότυπα Διαδικτύου. Η λειτουργικότητα περιλαμβάνει συμμετρική κρυπτογράφηση, κρυπτογραφία δημόσιου κλειδιού, συμφωνία κλειδιού, διαχείριση πιστοποιητικών, κρυπτογραφικές συναρτήσεις κρυπτογράφησης, κρυπτογραφικές γεννήτριες ψευδοτυχαίων αριθμών, κωδικούς επαλήθευσης μηνυμάτων (MAC), συναρτήσεις βασικών παραγώγων (KDF) και διάφορα βοηθητικά προγράμματα. Οι υπηρεσίες που παρέχει αυτή η βιβλιοθήκη χρησιμοποιούνται για την εφαρμογή πολλών άλλων προϊόντων και πρωτοκόλλων τρίτων. Ακολουθεί μια επισκόπηση των βασικών εννοιών libcrypto παρακάτω.
Τα κρυπτογραφικά πρωτότυπα όπως το κρυπτογράφηση SHA256 ή η κρυπτογράφηση AES ονομάζονται "αλγόριθμοι" στο OpenSSL. Κάθε αλγόριθμος μπορεί να έχει πολλές διαθέσιμες εφαρμογές. Για παράδειγμα, ο αλγόριθμος RSA διατίθεται ως μια "προεπιλεγμένη" εφαρμογή κατάλληλη για γενική χρήση και μια εφαρμογή "fips" που έχει επικυρωθεί σύμφωνα με τα πρότυπα FIPS για καταστάσεις όπου είναι σημαντικός. Είναι επίσης δυνατό για ένα τρίτο μέρος να προσθέσει επιπλέον εφαρμογές, για παράδειγμα σε μια μονάδα ασφαλείας υλικού (HSM).
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.