För flera dagar sedan Matt Caswell, medlem i utvecklingsteamet för OpenSSL -projektet, tillkännagav lanseringen av OpenSSL 3.0 som kommer efter 3 års utveckling, 17 alfaversioner, 2 betaversioner, mer än 7500 bekräftelser och bidrag från mer än 350 olika författare.
Och det är OpenSSL hade turen att ha haft flera heltidsingenjörer som arbetade på OpenSSL 3.0, finansierat på olika sätt. Vissa företag har tecknat supportavtal med OpenSSL-utvecklingsteamet, som sponsrade specifika funktioner som FIPS-modulen som hade planer på att återställa sin validering med OpenSSL 3.0, men de stötte på betydande förseningar och, som FIPS 140-2-testerna slutade i september 2021 beslutade OpenSSL slutligen att fokusera sina ansträngningar även på FIPS 140-3-standarder.
En nyckelfunktion av OpenSSL 3.0 är den nya FIPS -modulen. OpenSSL-utvecklingsteamet testar modulen och samlar in nödvändiga dokument för FIPS 140-2-validering. Att använda den nya FIPS -modulen i applikationsutvecklingsprojekt kan vara lika enkelt som att göra några ändringar i konfigurationsfilen, även om många applikationer kommer att behöva göra andra ändringar. FIPS -modulens man -sida ger information om hur du använder FIPS -modulen i dina applikationer.
Det bör också noteras att eftersom OpenSSL 3.0, OpenSSL har bytt till Apache 2.0 -licens. De gamla "dubbla" licenser för OpenSSL och SSLeay gäller fortfarande för tidigare versioner (1.1.1 och tidigare). OpenSSL 3.0 är en större version och är inte helt bakåtkompatibel. De flesta applikationer som arbetade med OpenSSL 1.1.1 kommer att fortsätta att fungera oförändrat och måste helt enkelt kompileras om (möjligen med många sammanställningsvarningar om att använda föråldrade API: er).
Med OpenSSL 3.0 är det möjligt att antingen programmera eller genom en konfigurationsfil vilka leverantörer användaren vill använda för en given applikation. OpenSSL 3.0 levereras som standard med 5 olika leverantörer. Med tiden kan tredje part distribuera ytterligare leverantörer som kan integreras med OpenSSL. Alla implementeringar av algoritmer som är tillgängliga från leverantörer är tillgängliga via "högnivå" API: er (till exempel funktioner med prefixet EVP). Det kan inte nås med API: er på låg nivå.
En av de tillgängliga standardleverantörerna är FIPS -leverantören som tillhandahåller FIPS -validerade kryptografiska algoritmer. FIPS-leverantören är inaktiverad som standard och måste uttryckligen aktiveras under konfigurationen med alternativet enable-fips. Om den är aktiverad skapas och installeras FIPS -leverantören utöver andra standardleverantörer.
Att använda den nya FIPS -modulen i applikationer kan vara lika enkelt som att göra några ändringar i konfigurationsfilen, även om många applikationer kommer att behöva göra andra ändringar. Program som är skrivna för att använda OpenSSL 3.0 FIPS -modulen bör inte använda några äldre API: er eller funktioner som kringgår FIPS -modulen. Detta inkluderar särskilt:
- Lågnivå kryptografiska API: er (det rekommenderas att använda API: er på hög nivå, t.ex. EVP);
Motores - alla funktioner som skapar eller ändrar anpassade metoder (till exempel EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Å andra sidan OpenSSL kryptografiska bibliotek (libcrypto) implementerar ett brett spektrum av kryptografiska algoritmer som används i olika internetstandarder. Funktionalitet inkluderar symmetrisk kryptering, offentlig nyckelkryptografi, nyckelavtal, certifikathantering, kryptografiska hashfunktioner, kryptografiska pseudo-slumpmässiga talgeneratorer, meddelandeautentiseringskoder (MAC), nyckelderivationsfunktioner (KDF) och olika verktyg. Tjänsterna från detta bibliotek används för att implementera många andra tredjepartsprodukter och protokoll. Här är en översikt över de viktigaste libcrypto -begreppen nedan.
Kryptografiska primitiv som SHA256 -hash eller AES -kryptering kallas "algoritmer" i OpenSSL. Varje algoritm kan ha flera implementeringar tillgängliga. Till exempel är RSA -algoritmen tillgänglig som en "standard" -implementering som är lämplig för allmänt bruk, och en "fips" -implementering som har validerats mot FIPS -standarder för situationer där det är viktigt. Det är också möjligt för en tredje part att lägga till ytterligare implementeringar, till exempel i en hårdvarusäkerhetsmodul (HSM).
Slutligen om du är intresserad av att veta mer om det kan du kontrollera detaljerna I följande länk.