Pred nekaj dnevi Matt Caswell, član razvojne ekipe projekta OpenSSL, napovedal izdajo OpenSSL 3.0 ki prihaja po 3 letih razvoja, 17 alfa različic, 2 beta različici, več kot 7500 potrditev in prispevkov več kot 350 različnih avtorjev.
In to je OpenSSL imel sem srečo, da sem imel več inženirjev s polnim delovnim časom ki je delal na OpenSSL 3.0, financiran na različne načine. Nekatera podjetja so podpisala pogodbe o podpori z razvojno skupino OpenSSL, ki je sponzorirala posebne funkcije, na primer modul FIPS, ki je nameraval obnoviti svojo veljavnost z OpenSSL 3.0, vendar so naleteli na velike zamude in, tako kot so se testi 140–2 zaključili septembra 2021 se je OpenSSL končno odločil, da bo svoja prizadevanja osredotočil tudi na standarde FIPS 140-3.
Ključna lastnost avtor OpenSSL 3.0 je nov modul FIPS. Razvojna skupina OpenSSL preizkuša modul in zbira potrebne dokumente za preverjanje veljavnosti FIPS 140-2. Uporaba novega modula FIPS v projektih razvoja aplikacij je lahko tako preprosta kot nekaj sprememb v konfiguracijski datoteki, čeprav bodo mnoge aplikacije morale narediti še druge spremembe. Uvodna stran modula FIPS vsebuje informacije o uporabi modula FIPS v vaših aplikacijah.
Prav tako je treba opozoriti, da od OpenSSL 3.0, OpenSSL je prešel na licenco Apache 2.0. Stare "dvojne" licence za OpenSSL in SSLeay še vedno veljajo za starejše različice (1.1.1 in starejše). OpenSSL 3.0 je glavna različica in ni popolnoma združljiva s prejšnjo različico. Večina aplikacij, ki so delovale z OpenSSL 1.1.1, bo še naprej delovala nespremenjeno in jih bo preprosto treba ponovno sestaviti (po možnosti z veliko opozorili pri sestavljanju zastarelih API -jev).
Z OpenSSL 3.0 je mogoče programsko ali prek konfiguracijske datoteke določiti, katere ponudnike želi uporabnik uporabiti za določeno aplikacijo. OpenSSL 3.0 je standardno opremljen s 5 različnimi ponudniki. Sčasoma lahko tretje osebe distribuirajo dodatne ponudnike, ki jih je mogoče integrirati z OpenSSL. Vse izvedbe algoritmov, ki so na voljo pri prodajalcih, so dostopne prek API-jev na visoki ravni (na primer funkcije s predpono EVP). Do njega ni mogoče dostopati z API-ji na nizki ravni.
Eden od standardnih ponudnikov je ponudnik FIPS, ki ponuja preverjene kriptografske algoritme FIPS. Ponudnik FIPS je privzeto onemogočen in ga je treba med konfiguracijo izrecno omogočiti z možnostjo enable-fips. Če je omogočeno, se ponudnik FIPS ustvari in namesti poleg drugih standardnih ponudnikov.
Uporaba novega modula FIPS v aplikacijah je lahko tako preprosta kot nekaj sprememb v konfiguracijski datoteki, čeprav bodo mnoge aplikacije morale narediti še druge spremembe. Aplikacije, napisane za uporabo modula OpenSSL 3.0 FIPS, ne smejo uporabljati nobenih podedovanih API -jev ali funkcij, ki obidejo modul FIPS. To vključuje zlasti:
- Kriptografski API-ji na nizki ravni (priporočljivo je uporabljati API-je na visoki ravni, na primer EVP);
motores - vse funkcije, ki ustvarjajo ali spreminjajo metode po meri (na primer EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Poleg tega kriptografsko knjižnico OpenSSL (libcrypto) izvaja široko paleto kriptografskih algoritmov, ki se uporabljajo v različnih internetnih standardih. Funkcionalnost vključuje simetrično šifriranje, kriptografijo z javnim ključem, dogovor s ključi, upravljanje certifikatov, kriptografske funkcije razprševanja, generatorje kriptografskih psevdo naključnih številk, kode za preverjanje pristnosti sporočil (MAC), funkcije izpeljave ključev (KDF) in različne pripomočke. Storitve te knjižnice se uporabljajo za izvajanje številnih drugih izdelkov in protokolov tretjih oseb. Spodaj je pregled ključnih konceptov libcrypto.
Kriptografski primitivi, kot sta razpršitev SHA256 ali šifriranje AES, se v OpenSSL imenujejo "algoritmi". Vsak algoritem ima lahko na voljo več izvedb. Na primer, algoritem RSA je na voljo kot "privzeta" izvedba, primerna za splošno uporabo, in "fips" izvedba, ki je bila potrjena v skladu s standardi FIPS za situacije, kjer je to pomembno. Možno je tudi, da tretja oseba doda dodatne izvedbe, na primer v varnostni modul strojne opreme (HSM).
Končno če vas zanima vedeti več o tem, lahko preverite podrobnosti V naslednji povezavi.