For flere dager siden Matt Caswell, medlem av utviklingsteamet i OpenSSL -prosjektet, kunngjorde utgivelsen av OpenSSL 3.0 som kommer etter 3 års utvikling, 17 alfa -versjoner, 2 beta -versjoner, mer enn 7500 bekreftelser og bidrag fra mer enn 350 forskjellige forfattere.
Og det er OpenSSL var heldig som hadde flere ingeniører på heltid som jobbet på OpenSSL 3.0, finansiert på forskjellige måter. Noen selskaper har signert supportkontrakter med OpenSSL-utviklingsteamet, som sponset spesifikke funksjoner, for eksempel FIPS-modulen som hadde planer om å gjenopprette validering med OpenSSL 3.0, men de opplevde betydelige forsinkelser og, i likhet med FIPS 140-2-testene som ble avsluttet i september 2021 bestemte OpenSSL seg endelig for å fokusere innsatsen også på FIPS 140-3-standarder.
En sentral funksjon av OpenSSL 3.0 er den nye FIPS -modulen. OpenSSL-utviklingsteamet tester modulen og samler de nødvendige dokumentene for FIPS 140-2-validering. Å bruke den nye FIPS -modulen i applikasjonsutviklingsprosjekter kan være like enkelt som å gjøre noen endringer i konfigurasjonsfilen, selv om mange applikasjoner må gjøre andre endringer. FIPS -modulens mannside gir informasjon om hvordan du bruker FIPS -modulen i programmene dine.
Det skal også bemerkes at siden OpenSSL 3.0, OpenSSL har byttet til Apache 2.0 -lisens. De gamle "doble" lisensene for OpenSSL og SSLeay gjelder fortsatt for tidligere versjoner (1.1.1 og tidligere). OpenSSL 3.0 er en hovedversjon og er ikke fullt kompatibel med den forrige versjonen. De fleste applikasjoner som jobbet med OpenSSL 1.1.1 vil fortsette å fungere uendret og må bare kompileres på nytt (muligens med mange advarsler om bruk av utdaterte APIer).
Med OpenSSL 3.0 er det mulig å spesifisere, enten programmatisk eller gjennom en konfigurasjonsfil, hvilke leverandører brukeren ønsker å bruke for en gitt applikasjon. OpenSSL 3.0 leveres som standard med 5 forskjellige leverandører. Over tid kan tredjeparter distribuere ytterligere leverandører som kan integreres med OpenSSL. Alle implementeringer av algoritmer som er tilgjengelige fra leverandører, er tilgjengelige via APIer på høyt nivå (for eksempel funksjoner med prefikset EVP). Den kan ikke nås ved hjelp av APIer på "lavt nivå".
En av standardleverandørene som er tilgjengelige, er FIPS -leverandøren som tilbyr FIPS -validerte kryptografiske algoritmer. FIPS-leverandøren er deaktivert som standard og må eksplisitt aktiveres under konfigurasjonen ved hjelp av alternativet enable-fips. Hvis den er aktivert, opprettes og installeres FIPS -leverandøren i tillegg til andre standardleverandører.
Å bruke den nye FIPS -modulen i applikasjoner kan være like enkelt som å gjøre noen endringer i konfigurasjonsfilen, selv om mange applikasjoner må gjøre andre endringer. Programmer skrevet for å bruke OpenSSL 3.0 FIPS -modulen bør ikke bruke noen eldre API -er eller funksjoner som omgår FIPS -modulen. Dette inkluderer spesielt:
- Kryptografiske APIer på lavt nivå (det anbefales å bruke APIer på høyt nivå, for eksempel EVP);
motorer - alle funksjoner som oppretter eller endrer tilpassede metoder (for eksempel EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
På den annen side OpenSSL kryptografiske bibliotek (libcrypto) implementerer et bredt spekter av kryptografiske algoritmer som brukes i forskjellige internettstandarder. Funksjonalitet inkluderer symmetrisk kryptering, offentlig nøkkelkryptografi, nøkkelavtale, sertifikathåndtering, kryptografiske hashingfunksjoner, kryptografiske pseudo-tilfeldige tallgeneratorer, meldingsautentiseringskoder (MAC), viktige avledningsfunksjoner (KDF) og forskjellige verktøy. Tjenestene som tilbys av dette biblioteket brukes til å implementere mange andre tredjeparts produkter og protokoller. Her er en oversikt over de viktigste libcrypto -konseptene nedenfor.
Kryptografiske primitiver som SHA256 -hash eller AES -kryptering kalles "algoritmer" i OpenSSL. Hver algoritme kan ha flere implementeringer tilgjengelig. For eksempel er RSA -algoritmen tilgjengelig som en "standard" -implementering som er egnet for generell bruk, og en "fips" -implementering som har blitt validert mot FIPS -standarder for situasjoner der det er viktig. Det er også mulig for en tredjepart å legge til ytterligere implementeringer, for eksempel i en maskinvaresikkerhetsmodul (HSM).
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.