Disa ditë më parë Matt Caswell, anëtar i ekipit të zhvillimit të projektit OpenSSL, njoftoi lëshimin e OpenSSL 3.0 i cili vjen pas 3 vitesh zhvillimi, 17 versione alfa, 2 versione beta, më shumë se 7500 konfirmime dhe kontribute nga më shumë se 350 autorë të ndryshëm.
Dhe është ajo OpenSSL ishte me fat që kishte disa inxhinierë me kohë të plotë i cili ka punuar në OpenSSL 3.0, financuar në mënyra të ndryshme. Disa kompani kanë nënshkruar kontrata mbështetëse me ekipin e zhvillimit OpenSSL, i cili sponsorizoi funksione të veçanta siç është moduli FIPS i cili kishte në plan të rivendoste vlefshmërinë e tij me OpenSSL 3.0, megjithatë, ata hasën në vonesa të konsiderueshme dhe, ashtu si testet FIPS 140-2 përfunduan në shtator 2021, OpenSSL më në fund vendosi të përqëndrojë përpjekjet e saj edhe në standardet FIPS 140-3.
Një tipar kryesor nga OpenSSL 3.0 është moduli i ri FIPSMe Ekipi i zhvillimit OpenSSL po teston modulin dhe po mbledh dokumentet e nevojshme për vlefshmërinë e FIPS 140-2. Përdorimi i modulit të ri FIPS në projektet e zhvillimit të aplikacioneve mund të jetë aq i lehtë sa të bësh disa ndryshime në skedarin e konfigurimit, megjithëse shumë aplikacione do të kenë nevojë të bëjnë ndryshime të tjera. Faqja manuale e modulit FIPS jep informacion se si të përdorni modulin FIPS në aplikacionet tuaja.
Duhet gjithashtu të theksohet se që nga OpenSSL 3.0, OpenSSL ka kaluar në licencën Apache 2.0Me Licencat e vjetra "të dyfishta" për OpenSSL dhe SSLeay ende zbatohen për versionet e mëparshme (1.1.1 dhe më herët). OpenSSL 3.0 është një version kryesor dhe nuk është plotësisht i pajtueshëm. Shumica e aplikacioneve që kanë punuar me OpenSSL 1.1.1 do të vazhdojnë të punojnë të pandryshuara dhe thjesht do të duhet të rikompilohen (ndoshta me shumë paralajmërime të përpilimit për përdorimin e API -ve të vjetëruar).
Me OpenSSL 3.0, është e mundur të specifikoni, në mënyrë programore ose përmes një skedari konfigurimi, cilët ofrues përdoruesi dëshiron të përdorë për një aplikim të caktuarMe OpenSSL 3.0 vjen standard me 5 ofrues të ndryshëm. Me kalimin e kohës, palët e treta mund të shpërndajnë ofrues shtesë që mund të integrohen me OpenSSL. Të gjitha zbatimet e algoritmeve të disponueshme nga shitësit janë të arritshme përmes API-ve "të nivelit të lartë" (për shembull, funksionet me parashtesën EVP). Nuk mund të arrihet duke përdorur API "të nivelit të ulët".
Një nga ofruesit standardë të disponueshëm është ofruesi FIPS i cili siguron algoritme kriptografike të vërtetuara nga FIPS. Ofruesi FIPS është i çaktivizuar si parazgjedhje dhe duhet të aktivizohet në mënyrë eksplicite gjatë konfigurimit duke përdorur opsionin enable-fips. Nëse aktivizohet, ofruesi FIPS krijohet dhe instalohet përveç ofruesve të tjerë standardë.
Përdorimi i modulit të ri FIPS në aplikacione mund të jetë aq i lehtë sa të bësh disa ndryshime në skedarin e konfigurimit, megjithëse shumë aplikacione do të kenë nevojë të bëjnë ndryshime të tjera. Aplikacionet e shkruara për të përdorur modulin OpenSSL 3.0 FIPS nuk duhet të përdorin asnjë API të vjetër ose veçori që anashkalojnë modulin FIPS. Kjo përfshin në veçanti:
- API kriptografike të nivelit të ulët (rekomandohet të përdorni API të nivelit të lartë, të tilla si EVP);
Motores - të gjitha funksionet që krijojnë ose modifikojnë metoda të personalizuara (për shembull, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Nga ana tjetër bibliotekën kriptografike OpenSSL (Libcrypto) zbaton një gamë të gjerë të algoritmeve kriptografike të përdorura në standarde të ndryshme të internetit. Funksionaliteti përfshin kriptimin simetrik, kriptografinë e çelësit publik, marrëveshjen kryesore, menaxhimin e certifikatave, funksionet kriptografike të hashimit, gjeneruesit kriptografik të numrave pseudo të rastësishëm, kodet e vërtetimit të mesazheve (MAC), funksionet kryesore të derivacionit (KDF) dhe shërbimet e ndryshme. Shërbimet e ofruara nga kjo bibliotekë përdoren për të zbatuar shumë produkte dhe protokolle të tjera të palëve të treta. Këtu keni një përmbledhje të koncepteve kryesore të libcrypto më poshtë.
Primitivët kriptografikë si hash SHA256 ose kriptimi AES quhen "algoritme" në OpenSSL. Çdo algoritëm mund të ketë zbatime të shumta në dispozicion. Për shembull, algoritmi RSA është i disponueshëm si një zbatim "i paracaktuar" i përshtatshëm për përdorim të përgjithshëm, dhe një zbatim "fips" që është vërtetuar kundër standardeve FIPS për situatat kur është i rëndësishëm. Alsoshtë gjithashtu e mundur që një palë e tretë të shtojë zbatime shtesë, për shembull në një modul sigurie harduerike (HSM).
Më në fund nëse jeni të interesuar të dini më shumë për të, mund të kontrolloni detajet Në lidhjen vijuese.