לפני כמה ימים מאט קאסוול, חבר בצוות הפיתוח של פרויקט OpenSSL, הכריזה על השקת OpenSSL 3.0 שמגיעה לאחר 3 שנות פיתוח, 17 גרסאות אלפא, 2 גרסאות בטא, יותר מ -7500 אישורים ותרומות של יותר מ -350 מחברים שונים.
וזה OpenSSL היה לו מזל שהיו לו כמה מהנדסים במשרה מלאה שעבד על OpenSSL 3.0, במימון בדרכים שונות. חלק מהחברות חתמו על חוזי תמיכה עם צוות הפיתוח של OpenSSL, אשר נותן חסות לפונקציות ספציפיות כגון מודול FIPS אשר תכנן לשחזר את האימות שלו עם OpenSSL 3.0, אולם הם נתקלו בעיכובים משמעותיים וכמו בדיקות FIPS 140-2 שהסתיימו בספטמבר. בשנת 2021, OpenSSL החליטה לבסוף למקד את מאמציה גם בתקני FIPS 140-3.
תכונה מרכזית על ידי OpenSSL 3.0 הוא מודול FIPS החדש. צוות הפיתוח של OpenSSL בודק את המודול ואוסף את המסמכים הדרושים לאימות FIPS 140-2. השימוש במודול FIPS החדש בפרויקטים של פיתוח אפליקציות יכול להיות פשוט כמו לבצע כמה שינויים בקובץ התצורה, אם כי יישומים רבים יצטרכו לבצע שינויים אחרים. דף איש המודולים של FIPS מספק מידע על אופן השימוש במודול FIPS ביישומים שלך.
כמו כן יש לציין כי מאז OpenSSL 3.0, OpenSSL עבר לרישיון Apache 2.0. הרישיונות ה"כפולים "הישנים עבור OpenSSL ו- SSLeay עדיין חלים על גירסאות קודמות (1.1.1 ומעלה). OpenSSL 3.0 היא גרסה מרכזית ואינה תואמת באופן מלא את הגירסה הקודמת. רוב היישומים שעבדו עם OpenSSL 1.1.1 ימשיכו לפעול ללא שינוי ופשוט יהיה צורך להרכיב מחדש (אולי עם הרבה אזהרות אוסף לגבי שימוש בממשקי API מיושנים).
עם OpenSSL 3.0 אפשר לציין, באופן תוכניתי או באמצעות קובץ תצורה, באילו ספקים המשתמש רוצה להשתמש עבור יישום נתון.. OpenSSL 3.0 מגיע כסטנדרט עם 5 ספקיות שונות. לאורך זמן, צד שלישי עשויים להפיץ ספקים נוספים הניתנים לשילוב עם OpenSSL. כל יישומי האלגוריתמים הזמינים מספקים נגישים באמצעות ממשקי API "ברמה גבוהה" (למשל פונקציות עם הקידומת EVP). לא ניתן לגשת אליו באמצעות ממשקי API "ברמה נמוכה".
אחד הספקים הסטנדרטיים הזמינים הוא ספק FIPS המספק אלגוריתמים קריפטוגרפיים מאומתים FIPS. ספק FIPS מושבת כברירת מחדל ויש להפעיל אותו במפורש במהלך התצורה באמצעות האפשרות enable-fips. אם הוא מופעל, ספק FIPS נוצר ומתקין בנוסף לספקים סטנדרטיים אחרים.
השימוש במודול FIPS החדש ביישומים יכול להיות פשוט כמו לבצע כמה שינויים בקובץ התצורה, אם כי יישומים רבים יצטרכו לבצע שינויים אחרים. יישומים שנכתבו לשימוש במודול OpenSSL 3.0 FIPS אינם צריכים להשתמש בממשקי API מיושנים או בתכונות שעוקפים את מודול FIPS. זה כולל במיוחד:
- ממשקי API קריפטוגרפיים ברמה נמוכה (מומלץ להשתמש בממשקי API ברמה גבוהה, כגון EVP);
Motores - כל הפונקציות שיוצרות או משנות שיטות מותאמות אישית (למשל, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
מאידך גיסא ספריית ההצפנה OpenSSL (libcrypto) מיישמת מגוון רחב של אלגוריתמים קריפטוגרפיים המשמשים בתקנים שונים באינטרנט. הפונקציונליות כוללת הצפנה סימטרית, הצפנת מפתחות ציבוריים, הסכם מפתחות, ניהול תעודות, פונקציות hashing קריפטוגרפיות, מחוללי מספר אקראיים פסאודו אקראיים, קודי אימות הודעות (MAC), פונקציות נגזרות מפתחות (KDF) ושירותים שונים. השירותים הניתנים על ידי ספרייה זו משמשים ליישום מוצרים ופרוטוקולים רבים אחרים של צד שלישי. להלן סקירה כללית של מושגי המפתח של libcrypto להלן.
פרימיטיבים קריפטוגרפיים כגון חשיש SHA256 או הצפנת AES נקראים "אלגוריתמים" ב- OpenSSL. לכל אלגוריתם יכולים להיות מספר יישומים זמינים. לדוגמה, אלגוריתם RSA זמין כיישום "ברירת מחדל" המתאים לשימוש כללי, ויישום "fips" שאומת על פי תקני FIPS במצבים בהם הוא חשוב. כמו כן, צד שלישי יכול להוסיף יישומים נוספים, למשל במודול אבטחת חומרה (HSM).
בסופו של דבר אם אתה מעוניין לדעת עוד על זה, אתה יכול לבדוק את הפרטים בקישור הבא.