Несколько дней назад Мэтт Касвелл, член команды разработчиков проекта OpenSSL, объявила о выпуске OpenSSL 3.0 который появился после 3 лет разработки, 17 альфа-версий, 2 бета-версий, более 7500 подтверждений и предложений от более чем 350 различных авторов.
И это тот OpenSSL повезло иметь несколько штатных инженеров которые работали над OpenSSL 3.0, финансировались разными способами. Некоторые компании подписали контракты на поддержку с командой разработчиков OpenSSL, которая спонсировала определенные функции, такие как модуль FIPS, который планировал восстановить его валидацию с помощью OpenSSL 3.0, однако они столкнулись со значительными задержками и, как и тесты FIPS 140-2, завершившиеся в сентябре. В 2021 году OpenSSL, наконец, решил сосредоточить свои усилия на стандартах FIPS 140-3.
Ключевая особенность по OpenSSL 3.0 это новый модуль FIPS. Команда разработчиков OpenSSL тестирует модуль и собирает необходимые документы для проверки FIPS 140-2. Использование нового модуля FIPS в проектах разработки приложений может быть таким же простым, как внесение некоторых изменений в файл конфигурации, хотя многим приложениям потребуется внести другие изменения. Справочная страница модуля FIPS предоставляет информацию о том, как использовать модуль FIPS в ваших приложениях.
Также следует отметить, что начиная с OpenSSL 3.0, OpenSSL перешел на лицензию Apache 2.0. Старые «двойные» лицензии для OpenSSL и SSLeay по-прежнему применяются к более ранним версиям (1.1.1 и ранее). OpenSSL 3.0 является основной версией и не имеет полной обратной совместимости. Большинство приложений, которые работали с OpenSSL 1.1.1, будут продолжать работать без изменений, и их просто нужно будет перекомпилировать (возможно, с множеством предупреждений компиляции об использовании устаревших API).
С OpenSSL 3.0 можно указать программно или через файл конфигурации, каких провайдеров пользователь хочет использовать для данного приложения.. OpenSSL 3.0 стандартно поставляется с 5 разными поставщиками. Со временем третьи стороны могут распространять дополнительных поставщиков, которые могут быть интегрированы с OpenSSL. Все реализации алгоритмов, доступные от поставщиков, доступны через «высокоуровневые» API (например, функции с префиксом EVP). К нему нельзя получить доступ с помощью «низкоуровневых» API.
Одним из доступных стандартных поставщиков является поставщик FIPS, который предоставляет проверенные FIPS криптографические алгоритмы. Поставщик FIPS отключен по умолчанию и должен быть явно включен во время настройки с помощью параметра enable-fips. Если этот параметр включен, поставщик FIPS создается и устанавливается в дополнение к другим стандартным поставщикам.
Использование нового модуля FIPS в приложениях может быть таким же простым, как внесение некоторых изменений в файл конфигурации, хотя многим приложениям потребуется внести другие изменения. Приложения, написанные для использования модуля OpenSSL 3.0 FIPS, не должны использовать какие-либо устаревшие API или функции, которые обходят модуль FIPS. Это, в частности, включает:
- Низкоуровневые криптографические API (рекомендуется использовать высокоуровневые API, такие как EVP);
Двигатели - все функции, которые создают или изменяют собственные методы (например, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Более того криптографическая библиотека OpenSSL (библиотекакрипто) реализует широкий спектр криптографических алгоритмов, используемых в различных интернет-стандартах. Функциональные возможности включают симметричное шифрование, криптографию с открытым ключом, согласование ключей, управление сертификатами, функции криптографического хеширования, генераторы криптографических псевдослучайных чисел, коды аутентификации сообщений (MAC), функции получения ключей (KDF) и различные утилиты. Услуги, предоставляемые этой библиотекой, используются для реализации многих других сторонних продуктов и протоколов. Ниже представлен обзор основных концепций libcrypto.
Криптографические примитивы, такие как хэш SHA256 или шифрование AES, в OpenSSL называются «алгоритмами». Каждый алгоритм может иметь несколько доступных реализаций. Например, алгоритм RSA доступен как реализация «по умолчанию», подходящая для общего использования, и реализация «fips», которая была проверена на соответствие стандартам FIPS для ситуаций, когда это важно. Третья сторона также может добавить дополнительные реализации, например, в аппаратном модуле безопасности (HSM).
В конце концов если вам интересно знать подробнее об этом вы можете уточнить в деталях По следующей ссылке.