Néhány nappal ezelőtt Matt Caswell, az OpenSSL projekt fejlesztőcsapatának tagja, bejelentette az OpenSSL 3.0 kiadását amely 3 év fejlesztés után, 17 alfa verzió, 2 béta verzió, több mint 7500 megerősítés és közreműködés több mint 350 különböző szerzőtől származik.
És ez az OpenSSL Szerencsés volt, hogy több főállású mérnöke volt akik az OpenSSL 3.0 -n dolgoztak, különféle módon finanszírozva. Egyes vállalatok támogatási szerződéseket írtak alá az OpenSSL fejlesztőcsapatával, amely bizonyos funkciókat szponzorált, például a FIPS modult, amely azt tervezte, hogy az érvényesítést visszaállítja az OpenSSL 3.0-val, azonban jelentős késésekbe ütköztek, és a FIPS 140-2 tesztekhez hasonlóan szeptemberben véget értek 2021-ben az OpenSSL végül úgy döntött, hogy a FIPS 140-3 szabványokra is összpontosítja erőfeszítéseit.
A legfontosabb jellemző az OpenSSL 3.0 az új FIPS modul. Az OpenSSL fejlesztői csapata teszteli a modult, és összegyűjti a FIPS 140-2 érvényesítéséhez szükséges dokumentumokat. Az új FIPS modul alkalmazása az alkalmazásfejlesztési projektekben olyan egyszerű lehet, mint néhány módosítás a konfigurációs fájlban, bár sok alkalmazásnak más módosításokat kell végrehajtania. A FIPS modul man oldala információkat tartalmaz a FIPS modul használatáról az alkalmazásokban.
Azt is meg kell jegyezni, hogy az OpenSSL 3.0 óta az OpenSSL Apache 2.0 licencre váltott. Az OpenSSL és SSLeay régi "kettős" licencei továbbra is érvényesek a korábbi verziókra (1.1.1 és korábbi). Az OpenSSL 3.0 egy fő verzió, és nem teljesen visszafelé kompatibilis. Az OpenSSL 1.1.1 -el működő alkalmazások többsége változatlanul tovább fog működni, és egyszerűen újra kell fordítani őket (esetleg sok fordítási figyelmeztetéssel az elavult API -k használatára vonatkozóan).
Az OpenSSL 3.0 segítségével programszerűen vagy konfigurációs fájlon keresztül megadható, hogy mely szolgáltatókat kívánja a felhasználó használni egy adott alkalmazáshoz. Az OpenSSL 3.0 alapfelszereltsége 5 különböző szolgáltató. Idővel harmadik felek további szolgáltatókat terjeszthetnek, amelyek integrálhatók az OpenSSL -be. A szállítóktól elérhető algoritmusok minden megvalósítása "magas szintű" API-k segítségével érhető el (például az EVP előtaggal rendelkező funkciók). Nem érhető el "alacsony szintű" API-k használatával.
Az egyik rendelkezésre álló szabványos szolgáltató a FIPS szolgáltató, amely FIPS által hitelesített kriptográfiai algoritmusokat biztosít. A FIPS szolgáltató alapértelmezés szerint le van tiltva, és az engedélyezési beállítások használatával kifejezetten engedélyezni kell. Ha engedélyezve van, akkor a FIPS szolgáltatót más szabványos szolgáltatók mellett hozza létre és telepíti.
Az új FIPS modul alkalmazása olyan egyszerű lehet, mint néhány módosítás a konfigurációs fájlban, bár sok alkalmazásnak más módosításokat kell végrehajtania. Az OpenSSL 3.0 FIPS modul használatára írt alkalmazások nem használhatnak régi API -kat vagy szolgáltatásokat, amelyek megkerülik a FIPS modult. Ide tartozik különösen:
- Alacsony szintű kriptográfiai API-k (ajánlott magas szintű API-k, például EVP használata);
motorok - minden olyan funkció, amely egyéni módszereket hoz létre vagy módosít (például EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Másrészt az OpenSSL kriptográfiai könyvtár (libcrypto) a különböző internetes szabványokban használt kriptográfiai algoritmusok széles skáláját valósítja meg. A funkcionalitás magában foglalja a szimmetrikus titkosítást, a nyilvános kulcsú titkosítást, a kulcsmegállapodást, a tanúsítványkezelést, a kriptográfiai kivonatolási funkciókat, a kriptográfiai ál-véletlenszám-generátorokat, az üzenet-hitelesítési kódokat (MAC), a kulcsszármazási funkciókat (KDF) és különféle segédprogramokat. A könyvtár által nyújtott szolgáltatások sok más, harmadik féltől származó termék és protokoll megvalósítására szolgálnak. Az alábbiakban áttekintjük a legfontosabb libcrypto fogalmakat.
Az olyan titkosítási primitíveket, mint az SHA256 kivonat vagy az AES titkosítás, "algoritmusoknak" nevezik az OpenSSL -ben. Minden algoritmus több megvalósítást is tartalmazhat. Például az RSA algoritmus elérhető "alapértelmezett" megvalósításként, amely általános használatra alkalmas, és "fips" megvalósításként, amelyet a FIPS szabványoknak megfelelően validáltak olyan esetekben, amikor ez fontos. Az is lehetséges, hogy egy harmadik fél további megvalósításokat ad hozzá, például egy hardverbiztonsági modulban (HSM).
Végül ha érdekel a tudás bővebben róla, ellenőrizheti a részleteket A következő linken.