Prieš kelias dienas Mattas Caswellas, „OpenSSL“ projekto kūrimo komandos narys, paskelbė apie „OpenSSL 3.0“ išleidimą po 3 metų kūrimo, 17 alfa versijų, 2 beta versijos, daugiau nei 7500 patvirtinimų ir daugiau nei 350 skirtingų autorių indėlių.
Ir tai yra „OpenSSL“ pasisekė, kad turėjo kelis nuolatinius inžinierius kurie dirbo prie „OpenSSL 3.0“, finansuojami įvairiais būdais. Kai kurios įmonės pasirašė paramos sutartis su „OpenSSL“ kūrimo komanda, kuri rėmė konkrečias funkcijas, tokias kaip FIPS modulis, kuris planavo atkurti jo patvirtinimą naudojant „OpenSSL 3.0“, tačiau jos labai vėlavo ir, kaip ir „FIPS 140-2“ bandymai baigėsi rugsėjo mėn. 2021 m. „OpenSSL“ pagaliau nusprendė sutelkti pastangas ir į FIPS 140-3 standartus.
Pagrindinis bruožas „OpenSSL 3.0“ yra naujas FIPS modulis. „OpenSSL“ kūrėjų komanda testuoja modulį ir renka reikalingus dokumentus FIPS 140-2 patvirtinimui. Naudoti naująjį FIPS modulį programų kūrimo projektuose gali būti taip paprasta, kaip atlikti kai kuriuos konfigūracijos failo pakeitimus, nors daugeliui programų reikės atlikti kitus pakeitimus. FIPS modulio valdymo puslapyje pateikiama informacija apie tai, kaip naudoti FIPS modulį savo programose.
Taip pat reikėtų pažymėti, kad nuo OpenSSL 3.0, OpenSSL perėjo prie „Apache 2.0“ licencijos. Senosios „dvigubos“ „OpenSSL“ ir „SSLeay“ licencijos vis dar taikomos ankstesnėms versijoms (1.1.1 ir ankstesnės). „OpenSSL 3.0“ yra pagrindinė versija ir nėra visiškai suderinama atgal. Dauguma programų, kurios dirbo su „OpenSSL 1.1.1“, ir toliau veiks nepakitusios ir jas tiesiog reikės iš naujo sukompiliuoti (galbūt su daugybe kompiliavimo įspėjimų apie pasenusių API naudojimą).
Naudojant „OpenSSL 3.0“, galima programiškai arba per konfigūracijos failą nurodyti, kuriuos teikėjus vartotojas nori naudoti tam tikrai programai. „OpenSSL 3.0“ standartiškai tiekiamas su 5 skirtingais teikėjais. Laikui bėgant trečiosios šalys gali platinti papildomus teikėjus, kurie gali būti integruoti į „OpenSSL“. Visi algoritmai, kuriuos galima įsigyti iš pardavėjų, yra prieinami per „aukšto lygio“ API (pavyzdžiui, funkcijas su priešdėliu EVP). Prie jo negalima prisijungti naudojant „žemo lygio“ API.
Vienas iš standartinių paslaugų teikėjų yra FIPS teikėjas, kuris teikia FIPS patvirtintus kriptografinius algoritmus. FIPS teikėjas yra išjungtas pagal numatytuosius nustatymus ir turi būti aiškiai įjungtas konfigūravimo metu naudojant „enable-fips“ parinktį. Jei įgalinta, kartu su kitais standartiniais teikėjais sukuriamas ir įdiegiamas FIPS teikėjas.
Naudoti naująjį FIPS modulį programose gali būti taip paprasta, kaip atlikti kai kuriuos konfigūracijos failo pakeitimus, nors daugeliui programų reikės atlikti kitus pakeitimus. Programose, skirtose naudoti „OpenSSL 3.0“ FIPS modulį, neturėtų būti naudojamos senos API ar funkcijos, apeinančios FIPS modulį. Tai visų pirma apima:
- Žemo lygio kriptografinės API (rekomenduojama naudoti aukšto lygio API, pvz., EVP);
motores - visos funkcijos, kurios sukuria arba modifikuoja tinkintus metodus (pvz., EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Kita vertus „OpenSSL“ kriptografinė biblioteka (libcrypto) diegia platų spektrą kriptografinių algoritmų, naudojamų įvairiuose interneto standartuose. Funkcionalumas apima simetrinį šifravimą, viešojo rakto kriptografiją, raktų susitarimą, sertifikatų valdymą, kriptografines maišos funkcijas, kriptografinius pseudoatsitiktinių skaičių generatorius, pranešimų autentifikavimo kodus (MAC), raktų išvedimo funkcijas (KDF) ir įvairias paslaugas. Šios bibliotekos teikiamos paslaugos naudojamos daugeliui kitų trečiųjų šalių produktų ir protokolų. Toliau pateikiama pagrindinių libcrypto sąvokų apžvalga.
Kriptografiniai primityvai, tokie kaip SHA256 maišos arba AES šifravimas, OpenSSL vadinami „algoritmais“. Kiekvienas algoritmas gali turėti keletą įgyvendinimo variantų. Pavyzdžiui, RSA algoritmas galimas kaip „numatytasis“ įgyvendinimas, tinkamas bendram naudojimui, ir „fips“ diegimas, kuris buvo patvirtintas pagal FIPS standartus, kai tai svarbu. Trečioji šalis taip pat gali pridėti papildomų diegimų, pavyzdžiui, techninės įrangos saugos modulyje (HSM).
Pagaliau jei tau įdomu sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.