Beberapa hari lalu Matt Caswell, anggota tim pengembangan proyek OpenSSL, mengumumkan rilis OpenSSL 3.0 yang datang setelah 3 tahun pengembangan, 17 versi alpha, 2 versi beta, lebih dari 7500 konfirmasi dan kontribusi dari lebih dari 350 penulis yang berbeda.
Dan itu adalah OpenSSL beruntung memiliki beberapa insinyur penuh waktu yang bekerja di OpenSSL 3.0, didanai dengan berbagai cara. Beberapa perusahaan telah menandatangani kontrak dukungan dengan tim pengembangan OpenSSL, yang mensponsori fungsi tertentu seperti modul FIPS yang memiliki rencana untuk memulihkan validasinya dengan OpenSSL 3.0, namun, mereka mengalami penundaan yang signifikan dan, seperti tes FIPS 140-2 yang berakhir pada bulan September. 2021, OpenSSL akhirnya memutuskan untuk memfokuskan upayanya pada standar FIPS 140-3 juga.
Fitur utama oleh OpenSSL 3.0 adalah modul FIPS baru. Tim pengembangan OpenSSL sedang menguji modul dan mengumpulkan dokumen yang diperlukan untuk validasi FIPS 140-2. Menggunakan modul FIPS baru dalam proyek pengembangan aplikasi bisa semudah membuat beberapa perubahan pada file konfigurasi, meskipun banyak aplikasi perlu membuat perubahan lain. Halaman manual modul FIPS memberikan informasi tentang cara menggunakan modul FIPS dalam aplikasi Anda.
Perlu juga dicatat bahwa sejak OpenSSL 3.0, OpenSSL telah beralih ke lisensi Apache 2.0. Lisensi "ganda" lama untuk OpenSSL dan SSLeay masih berlaku untuk versi sebelumnya (1.1.1 dan sebelumnya). OpenSSL 3.0 adalah versi utama dan tidak sepenuhnya kompatibel dengan versi sebelumnya. Sebagian besar aplikasi yang bekerja dengan OpenSSL 1.1.1 akan terus bekerja tanpa perubahan dan hanya perlu dikompilasi ulang (mungkin dengan banyak peringatan kompilasi tentang penggunaan API yang sudah usang).
Dengan OpenSSL 3.0, dimungkinkan untuk menentukan, baik secara terprogram atau melalui file konfigurasi, penyedia mana yang ingin digunakan pengguna untuk aplikasi tertentu. OpenSSL 3.0 hadir standar dengan 5 penyedia berbeda. Seiring waktu, pihak ketiga dapat mendistribusikan penyedia tambahan yang dapat diintegrasikan dengan OpenSSL. Semua implementasi algoritme yang tersedia dari vendor dapat diakses melalui API "tingkat tinggi" (misalnya, fungsi dengan awalan EVP). Itu tidak dapat diakses menggunakan API "tingkat rendah".
Salah satu penyedia standar yang tersedia adalah penyedia FIPS yang menyediakan algoritma kriptografi tervalidasi FIPS. Penyedia FIPS dinonaktifkan secara default dan harus diaktifkan secara eksplisit selama konfigurasi menggunakan opsi aktifkan-fips. Jika diaktifkan, penyedia FIPS dibuat dan diinstal selain penyedia standar lainnya.
Menggunakan modul FIPS baru dalam aplikasi semudah membuat beberapa perubahan pada file konfigurasi, meskipun banyak aplikasi perlu membuat perubahan lain. Aplikasi yang ditulis untuk menggunakan modul OpenSSL 3.0 FIPS tidak boleh menggunakan API atau fitur lama apa pun yang mengabaikan modul FIPS. Ini termasuk khususnya:
- API kriptografi tingkat rendah (disarankan untuk menggunakan API tingkat tinggi, seperti EVP);
mesin - semua fungsi yang membuat atau memodifikasi metode kustom (misalnya, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Di sisi lain perpustakaan kriptografi OpenSSL (librcrypto) mengimplementasikan berbagai algoritma kriptografi yang digunakan dalam berbagai standar Internet. Fungsionalitas termasuk enkripsi simetris, kriptografi kunci publik, perjanjian kunci, manajemen sertifikat, fungsi hashing kriptografi, generator nomor pseudo-acak kriptografi, kode otentikasi pesan (MAC), fungsi derivasi kunci (KDF), dan berbagai utilitas . Layanan yang disediakan oleh perpustakaan ini digunakan untuk mengimplementasikan banyak produk dan protokol pihak ketiga lainnya. Berikut ini ikhtisar konsep kunci libcrypto di bawah ini.
Primitif kriptografi seperti hash SHA256 atau enkripsi AES disebut "algoritma" di OpenSSL. Setiap algoritma dapat memiliki beberapa implementasi yang tersedia. Misalnya, algoritme RSA tersedia sebagai implementasi "default" yang cocok untuk penggunaan umum, dan implementasi "fips" yang telah divalidasi terhadap standar FIPS untuk situasi yang penting. Dimungkinkan juga bagi pihak ketiga untuk menambahkan implementasi tambahan, misalnya dalam modul keamanan perangkat keras (HSM).
Akhirnya jika Anda tertarik untuk mengetahui lebih lanjut tentang itu, Anda dapat memeriksa detailnya Di tautan berikut.