Acum câteva zile Matt Caswell, membru al echipei de dezvoltare a proiectului OpenSSL, a anunțat lansarea OpenSSL 3.0 care vine după 3 ani de dezvoltare, 17 versiuni alfa, 2 versiuni beta, peste 7500 de confirmări și contribuții de la peste 350 de autori diferiți.
Și este acel OpenSSL a avut norocul să fi avut mai mulți ingineri cu normă întreagă care a lucrat la OpenSSL 3.0, finanțat în diferite moduri. Unele companii au semnat contracte de asistență cu echipa de dezvoltare OpenSSL, care a sponsorizat funcții specifice, cum ar fi modulul FIPS, care avea planuri să-și restabilească validarea cu OpenSSL 3.0, cu toate acestea, au întâmpinat întârzieri semnificative și, la fel ca testele FIPS 140-2 încheiate în septembrie 2021, OpenSSL a decis în cele din urmă să își concentreze eforturile și asupra standardelor FIPS 140-3.
O caracteristică cheie din OpenSSL 3.0 este noul modul FIPS. Echipa de dezvoltare OpenSSL testează modulul și adună documentele necesare pentru validarea FIPS 140-2. Utilizarea noului modul FIPS în proiectele de dezvoltare a aplicațiilor poate fi la fel de ușoară ca și modificarea fișierului de configurare, deși multe aplicații vor trebui să facă alte modificări. Pagina manuală a modulului FIPS oferă informații despre modul de utilizare a modulului FIPS în aplicațiile dvs.
De asemenea, trebuie remarcat faptul că, de la OpenSSL 3.0, OpenSSL a trecut la licența Apache 2.0. Vechile licențe „duale” pentru OpenSSL și SSLeay se aplică în continuare versiunilor anterioare (1.1.1 și anterioare). OpenSSL 3.0 este o versiune majoră și nu este complet compatibil cu versiunile anterioare. Majoritatea aplicațiilor care au funcționat cu OpenSSL 1.1.1 vor continua să funcționeze neschimbate și vor trebui pur și simplu recompilate (posibil cu multe avertismente de compilare despre utilizarea API-urilor învechite).
Cu OpenSSL 3.0, este posibil să specificați, fie prin program, fie printr-un fișier de configurare, ce furnizori dorește să utilizeze utilizatorul pentru o anumită aplicație. OpenSSL 3.0 vine standard cu 5 furnizori diferiți. În timp, terții pot distribui furnizori suplimentari care pot fi integrați cu OpenSSL. Toate implementările algoritmilor disponibili de la furnizori sunt accesibile prin intermediul API-urilor de "nivel înalt" (de exemplu, funcții cu prefixul EVP). Nu poate fi accesat folosind API-uri „de nivel scăzut”.
Unul dintre furnizorii standard disponibili este furnizorul FIPS care furnizează algoritmi criptografici validați de FIPS. Furnizorul FIPS este dezactivat în mod implicit și trebuie activat în mod explicit în timpul configurării utilizând opțiunea enable-fips. Dacă este activat, furnizorul FIPS este creat și instalat pe lângă alți furnizori standard.
Utilizarea noului modul FIPS în aplicații poate fi la fel de ușor ca și modificarea fișierului de configurare, deși multe aplicații vor trebui să facă alte modificări. Aplicațiile scrise pentru a utiliza modulul OpenSSL 3.0 FIPS nu trebuie să utilizeze API-uri sau caracteristici vechi care ocolesc modulul FIPS. Aceasta include în special:
- API-uri criptografice de nivel scăzut (se recomandă utilizarea API-urilor de nivel înalt, cum ar fi EVP);
Motoarele - toate funcțiile care creează sau modifică metode personalizate (de exemplu, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Pe de altă parte biblioteca criptografică OpenSSL (libcrypto) implementează o gamă largă de algoritmi criptografici utilizați în diferite standarde de internet. Funcționalitatea include criptare simetrică, criptografie cu cheie publică, acord de chei, gestionarea certificatelor, funcții de hash criptografice, generatoare de numere pseudo-aleatorii criptografice, coduri de autentificare a mesajelor (MAC), funcții de derivare a cheilor (KDF) și diverse utilități. Serviciile furnizate de această bibliotecă sunt utilizate pentru a implementa multe alte produse și protocoale terță parte. Iată o prezentare generală a conceptelor cheie libcrypto de mai jos.
Primitivele criptografice precum hash-ul SHA256 sau criptarea AES sunt numite „algoritmi” în OpenSSL. Fiecare algoritm poate avea implementări multiple disponibile. De exemplu, algoritmul RSA este disponibil ca o implementare „implicită” adecvată pentru uz general și o implementare „fips” care a fost validată în raport cu standardele FIPS pentru situațiile în care este important. De asemenea, este posibil ca o terță parte să adauge implementări suplimentare, de exemplu într-un modul de securitate hardware (HSM).
În cele din urmă dacă sunteți interesat să știți mai multe despre asta, puteți verifica detaliile În următorul link.