Mitu päeva tagasi Matt Caswell, projekti OpenSSL arendusmeeskonna liige, teatas OpenSSL 3.0 väljalaskest mis tuleb pärast 3 -aastast arendustööd, 17 alfa -versiooni, 2 beetaversiooni, üle 7500 kinnituse ja kaastööd enam kui 350 erinevalt autorilt.
Ja see on OpenSSL oli õnn, et mul oli mitu täiskohaga inseneri kes töötas OpenSSL 3.0 -ga, mida rahastati mitmel viisil. Mõned ettevõtted on sõlminud tugilepingud OpenSSL-i arendusmeeskonnaga, kes sponsoreeris konkreetseid funktsioone, nagu FIPS-moodul, millel oli plaan taastada selle valideerimine OpenSSL 3.0-ga, kuid neil esines märkimisväärseid viivitusi ja nagu FIPS 140-2 testid lõppesid septembris 2021 otsustas OpenSSL lõpuks keskenduda ka FIPS 140-3 standarditele.
Põhijoon OpenSSL 3.0 abil on uus FIPS moodul. OpenSSL-i arendusmeeskond katsetab moodulit ja kogub FIPS 140-2 valideerimiseks vajalikke dokumente. Uue FIPS -mooduli kasutamine rakenduste arendusprojektides võib olla sama lihtne kui konfiguratsioonifaili mõningate muudatuste tegemine, kuigi paljud rakendused peavad tegema muid muudatusi. FIPS -mooduli man -leht annab teavet selle kohta, kuidas kasutada FIPS -moodulit oma rakendustes.
Samuti tuleb märkida, et kuna OpenSSL 3.0, OpenSSL on üle läinud Apache 2.0 litsentsile. Vanad OpenSSL -i ja SSLeay kahepoolsed litsentsid kehtivad endiselt varasematele versioonidele (1.1.1 ja varasemad). OpenSSL 3.0 on peamine versioon ja ei ühildu täielikult tagurpidi. Enamik rakendusi, mis töötasid OpenSSL 1.1.1 -ga, töötavad muutumatuna ja need tuleb lihtsalt uuesti kompileerida (võib -olla koos paljude kompileerimishoiatustega vananenud API -de kasutamise kohta).
OpenSSL 3.0 abil on võimalik programmiliselt või konfiguratsioonifaili kaudu määrata, milliseid pakkujaid kasutaja soovib antud rakenduse jaoks kasutada. OpenSSL 3.0 standardvarustuses on 5 erinevat pakkujat. Aja jooksul võivad kolmandad osapooled levitada täiendavaid pakkujaid, mida saab OpenSSL -iga integreerida. Kõik müüjatelt saadaolevate algoritmide rakendused on juurdepääsetavad "kõrgetasemeliste" API-de kaudu (näiteks funktsioonid koos eesliitega EVP). Sellele ei pääse juurde "madala taseme" API-de abil.
Üks standardsetest pakkujatest on FIPS pakkuja, mis pakub FIPS -i valideeritud krüptoalgoritme. FIPS-teenuse pakkuja on vaikimisi keelatud ja see peab olema konfigureerimise ajal selgesõnaliselt lubatud, kasutades valikut enable-fips. Kui see on lubatud, luuakse ja installitakse FIPS pakkuja lisaks teistele standardsetele pakkujatele.
Uue FIPS -mooduli kasutamine rakendustes võib olla sama lihtne kui konfiguratsioonifaili muutmine, kuigi paljud rakendused peavad tegema muid muudatusi. OpenSSL 3.0 FIPS mooduli kasutamiseks kirjutatud rakendused ei tohiks kasutada pärandliideseid ega funktsioone, mis mööduvad FIPS moodulist. See hõlmab eelkõige järgmist:
- Madala taseme krüptograafilised API-d (soovitatav on kasutada kõrgetasemelisi API-sid, näiteks EVP);
motores - kõik funktsioonid, mis loovad või muudavad kohandatud meetodeid (näiteks EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Teisest küljest OpenSSL -i krüptograafiateek (libcrypto) rakendab laias valikus erinevates Interneti -standardites kasutatavaid krüptoalgoritme. Funktsionaalsus hõlmab sümmeetrilist krüptimist, avaliku võtme krüptograafiat, võtmelepingut, sertifikaatide haldamist, krüptograafilisi räsimisfunktsioone, krüptograafilisi pseudo-juhuslike arvude generaatoreid, sõnumite autentimiskoode (MAC), võtmete tuletamise funktsioone (KDF) ja mitmesuguseid utiliite. Selle raamatukogu pakutavaid teenuseid kasutatakse paljude muude kolmandate osapoolte toodete ja protokollide juurutamiseks. Allpool on ülevaade libcrypto võtmekontseptsioonidest.
Krüptograafilisi primitiive, nagu näiteks SHA256 räsi või AES -krüptimine, nimetatakse OpenSSL -is "algoritmideks". Igal algoritmil võib olla mitu teostust. Näiteks RSA algoritm on saadaval üldiseks kasutamiseks sobiva "vaikimisi" ja "fips" rakendus, mis on FIPS standardite kohaselt valideeritud olukordades, kus see on oluline. Samuti võib kolmas osapool lisada täiendavaid rakendusi, näiteks riistvara turvamoodulis (HSM).
Lõpuks kui olete huvitatud teadmisest selle kohta rohkem, saate üksikasju vaadata Järgmisel lingil.