Een aantal dagen geleden Matt Caswell, lid van het ontwikkelteam van het OpenSSL-project, kondigde de release van OpenSSL 3.0 aan die komt na 3 jaar ontwikkeling, 17 alfaversies, 2 bètaversies, meer dan 7500 bevestigingen en bijdragen van meer dan 350 verschillende auteurs.
En het is dat OpenSSL had het geluk verschillende fulltime ingenieurs te hebben gehad die aan OpenSSL 3.0 werkte, op verschillende manieren gefinancierd. Sommige bedrijven hebben ondersteuningscontracten getekend met het OpenSSL-ontwikkelingsteam, dat specifieke functies sponsorde, zoals de FIPS-module die plannen had om de validatie ervan met OpenSSL 3.0 te herstellen, maar ze ondervonden aanzienlijke vertragingen en, zoals de FIPS 140-2-tests die in september eindigden In 2021 besloot OpenSSL uiteindelijk om zijn inspanningen ook te richten op de FIPS 140-3-standaarden.
Een belangrijk kenmerk door OpenSSL 3.0 is de nieuwe FIPS-module. Het ontwikkelteam van OpenSSL test de module en verzamelt de benodigde documenten voor FIPS 140-2-validatie. Het gebruik van de nieuwe FIPS-module in applicatieontwikkelingsprojecten kan net zo eenvoudig zijn als het aanbrengen van enkele wijzigingen in het configuratiebestand, hoewel veel applicaties andere wijzigingen moeten aanbrengen. De man-pagina van de FIPS-module biedt informatie over het gebruik van de FIPS-module in uw toepassingen.
Er moet ook worden opgemerkt dat sinds OpenSSL 3.0, OpenSSL is overgestapt op Apache 2.0-licentie. De oude "dubbele" licenties voor OpenSSL en SSLeay gelden nog steeds voor eerdere versies (1.1.1 en eerder). OpenSSL 3.0 is een hoofdversie en is niet volledig achterwaarts compatibel. De meeste toepassingen die met OpenSSL 1.1.1 werkten, blijven ongewijzigd werken en moeten gewoon opnieuw worden gecompileerd (mogelijk met veel compilatiewaarschuwingen over het gebruik van verouderde API's).
Met OpenSSL 3.0 is het mogelijk om programmatisch of via een configuratiebestand te specificeren welke providers de gebruiker voor een bepaalde applicatie wil gebruiken. OpenSSL 3.0 wordt standaard geleverd met 5 verschillende providers. In de loop van de tijd kunnen derden aanvullende providers distribueren die kunnen worden geïntegreerd met OpenSSL. Alle implementaties van algoritmen die beschikbaar zijn bij leveranciers zijn toegankelijk via "high-level" API's (bijvoorbeeld functies met het voorvoegsel EVP). Het is niet toegankelijk via "low-level" API's.
Een van de beschikbare standaardproviders is de FIPS-provider die FIPS-gevalideerde cryptografische algoritmen levert. De FIPS-provider is standaard uitgeschakeld en moet expliciet worden ingeschakeld tijdens de configuratie met de optie enable-fips. Indien ingeschakeld, wordt de FIPS-provider gemaakt en geïnstalleerd naast andere standaardproviders.
Het gebruik van de nieuwe FIPS-module in toepassingen kan net zo eenvoudig zijn als het aanbrengen van enkele wijzigingen in het configuratiebestand, hoewel veel toepassingen andere wijzigingen moeten aanbrengen. Toepassingen die zijn geschreven om de OpenSSL 3.0 FIPS-module te gebruiken, mogen geen verouderde API's of functies gebruiken die de FIPS-module omzeilen. Dit omvat in het bijzonder:
- cryptografische API's op laag niveau (het wordt aanbevolen om API's op hoog niveau te gebruiken, zoals EVP);
motoren - alle functies die aangepaste methoden maken of wijzigen (bijvoorbeeld EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Bovendien de OpenSSL cryptografische bibliotheek (libcrypto) implementeert een breed scala aan cryptografische algoritmen die in verschillende internetstandaarden worden gebruikt. Functionaliteit omvat symmetrische codering, cryptografie met openbare sleutels, sleutelovereenkomst, certificaatbeheer, cryptografische hashingfuncties, cryptografische pseudo-willekeurige nummergeneratoren, berichtauthenticatiecodes (MAC), sleutelafleidingsfuncties (KDF) en verschillende hulpprogramma's. De services die door deze bibliotheek worden geleverd, worden gebruikt om veel andere producten en protocollen van derden te implementeren. Hier is een overzicht van de belangrijkste libcrypto-concepten hieronder.
Cryptografische primitieven zoals de SHA256-hash of AES-codering worden in OpenSSL "algoritmen" genoemd. Elk algoritme kan meerdere implementaties hebben. Het RSA-algoritme is bijvoorbeeld beschikbaar als een "standaard"-implementatie die geschikt is voor algemeen gebruik, en een "fips"-implementatie die is gevalideerd tegen de FIPS-standaarden voor situaties waarin het belangrijk is. Ook is het mogelijk dat een derde partij extra implementaties toevoegt, bijvoorbeeld in een hardware security module (HSM).
Eindelijk als je geïnteresseerd bent om te weten meer over, u kunt de details bekijken In de volgende link.