หลายวันก่อน แมตต์ แคสเวลล์, สมาชิกของทีมพัฒนาโครงการ OpenSSL ประกาศเปิดตัว OpenSSL 3.0 ซึ่งมาหลังจาก 3 ปีของการพัฒนา เวอร์ชันอัลฟ่า 17 เวอร์ชัน เวอร์ชันเบต้า 2 เวอร์ชัน การยืนยันและการสนับสนุนมากกว่า 7500 รายการจากผู้เขียนมากกว่า 350 คน
และนั่นก็คือ OpenSSL โชคดีที่มีวิศวกรประจำหลายคน ที่ทำงานบน OpenSSL 3.0 ได้รับทุนในรูปแบบต่างๆ บางบริษัทได้ลงนามในสัญญาการสนับสนุนกับทีมพัฒนา OpenSSL ซึ่งสนับสนุนฟังก์ชันเฉพาะ เช่น โมดูล FIPS ซึ่งมีแผนจะคืนค่าการตรวจสอบความถูกต้องด้วย OpenSSL 3.0 อย่างไรก็ตาม พวกเขาพบความล่าช้าอย่างมาก และเช่นเดียวกับการทดสอบ FIPS 140-2 ที่สิ้นสุดในเดือนกันยายน ในปี 2021 ในที่สุด OpenSSL ก็ตัดสินใจที่จะมุ่งเน้นไปที่มาตรฐาน FIPS 140-3 เช่นกัน
คุณสมบัติที่สำคัญ โดย OpenSSL 3.0 เป็นโมดูล FIPS ใหม่. ทีมพัฒนา OpenSSL กำลังทดสอบโมดูลและรวบรวมเอกสารที่จำเป็นสำหรับการตรวจสอบความถูกต้อง FIPS 140-2 การใช้โมดูล FIPS ใหม่ในโครงการพัฒนาแอปพลิเคชันสามารถทำได้ง่ายพอๆ กับการเปลี่ยนแปลงบางอย่างในไฟล์การกำหนดค่า แม้ว่าแอปพลิเคชันจำนวนมากจะต้องทำการเปลี่ยนแปลงอื่นๆ หน้าคู่มือโมดูล FIPS ให้ข้อมูลเกี่ยวกับวิธีการใช้โมดูล FIPS ในแอปพลิเคชันของคุณ
ควรสังเกตด้วยว่าตั้งแต่ OpenSSL 3.0, OpenSSL ได้เปลี่ยนไปใช้ใบอนุญาต Apache 2.0 แล้ว. ใบอนุญาต "แบบคู่" แบบเก่าสำหรับ OpenSSL และ SSLeay ยังคงใช้กับเวอร์ชันก่อนหน้า (1.1.1 และเก่ากว่า) OpenSSL 3.0 เป็นเวอร์ชันหลักและไม่สามารถทำงานร่วมกับเวอร์ชันก่อนหน้าได้อย่างสมบูรณ์ แอปพลิเคชันส่วนใหญ่ที่ทำงานร่วมกับ OpenSSL 1.1.1 จะยังคงทำงานต่อไปโดยไม่มีการเปลี่ยนแปลงและจำเป็นต้องคอมไพล์ใหม่ (อาจมีคำเตือนเกี่ยวกับการคอมไพล์มากมายเกี่ยวกับการใช้ API ที่ล้าสมัย)
ด้วย OpenSSL 3.0 คุณสามารถระบุได้ทั้งแบบเป็นโปรแกรมหรือผ่านไฟล์การกำหนดค่าซึ่งผู้ให้บริการที่ผู้ใช้ต้องการใช้สำหรับแอปพลิเคชันที่กำหนด. OpenSSL 3.0 มาพร้อมกับผู้ให้บริการมาตรฐาน 5 ราย เมื่อเวลาผ่านไป บุคคลที่สามอาจแจกจ่ายผู้ให้บริการเพิ่มเติมที่สามารถรวมเข้ากับ OpenSSL ได้ การใช้งานอัลกอริทึมทั้งหมดที่มีให้จากผู้ขายสามารถเข้าถึงได้ผ่าน API "ระดับสูง" (เช่น ฟังก์ชันที่มีคำนำหน้า EVP) ไม่สามารถเข้าถึงได้โดยใช้ API "ระดับต่ำ"
หนึ่งในผู้ให้บริการมาตรฐานที่มีให้บริการคือผู้ให้บริการ FIPS ซึ่งจัดเตรียมอัลกอริธึมการเข้ารหัสที่ได้รับการตรวจสอบ FIPS ผู้ให้บริการ FIPS ถูกปิดใช้งานโดยค่าเริ่มต้น และต้องเปิดใช้งานอย่างชัดเจนระหว่างการกำหนดค่าโดยใช้ตัวเลือก enable-fips หากเปิดใช้งาน ผู้ให้บริการ FIPS จะถูกสร้างขึ้นและติดตั้งเพิ่มเติมจากผู้ให้บริการมาตรฐานอื่นๆ
การใช้โมดูล FIPS ใหม่ในแอปพลิเคชันสามารถทำได้ง่ายพอๆ กับการเปลี่ยนแปลงบางอย่างในไฟล์การกำหนดค่า แม้ว่าแอปพลิเคชันจำนวนมากจะต้องทำการเปลี่ยนแปลงอื่นๆ แอปพลิเคชันที่เขียนขึ้นเพื่อใช้โมดูล OpenSSL 3.0 FIPS ไม่ควรใช้ API เดิมหรือคุณลักษณะที่เลี่ยงผ่านโมดูล FIPS ซึ่งรวมถึงโดยเฉพาะอย่างยิ่ง:
- API การเข้ารหัสระดับต่ำ (แนะนำให้ใช้ API ระดับสูง เช่น EVP)
Motores - ฟังก์ชันทั้งหมดที่สร้างหรือแก้ไขวิธีการที่กำหนดเอง (เช่น EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ())
ในทางกลับกัน ไลบรารีการเข้ารหัส OpenSSL (ลิบคริปโต) ใช้อัลกอริธึมการเข้ารหัสที่หลากหลายที่ใช้ในมาตรฐานอินเทอร์เน็ตต่างๆ ฟังก์ชันรวมถึงการเข้ารหัสแบบสมมาตร การเข้ารหัสคีย์สาธารณะ ข้อตกลงคีย์ การจัดการใบรับรอง ฟังก์ชันแฮชการเข้ารหัส ตัวสร้างตัวเลขสุ่มหลอกที่เข้ารหัส รหัสการตรวจสอบข้อความ (MAC) ฟังก์ชันการได้มาของคีย์ (KDF) และยูทิลิตี้ต่างๆ บริการที่จัดทำโดยไลบรารีนี้ใช้เพื่อปรับใช้ผลิตภัณฑ์และโปรโตคอลของบุคคลที่สามอื่นๆ นี่คือภาพรวมของแนวคิดหลักของ libcrypto ด้านล่าง
การเข้ารหัสลับเบื้องต้น เช่น แฮช SHA256 หรือการเข้ารหัส AES เรียกว่า "อัลกอริทึม" ใน OpenSSL แต่ละอัลกอริธึมสามารถมีการใช้งานได้หลายแบบ ตัวอย่างเช่น อัลกอริทึม RSA มีให้ใช้งานในรูปแบบ "ค่าเริ่มต้น" ที่เหมาะสำหรับการใช้งานทั่วไป และการใช้งาน "fips" ที่ได้รับการตรวจสอบตามมาตรฐาน FIPS สำหรับสถานการณ์ที่สำคัญ บุคคลที่สามยังสามารถเพิ่มการใช้งานเพิ่มเติมได้ เช่น ในโมดูลความปลอดภัยฮาร์ดแวร์ (HSM)
ในที่สุด หากคุณสนใจที่จะรู้ เพิ่มเติมเกี่ยวกับเรื่องนี้คุณสามารถตรวจสอบรายละเอียด ในลิงค์ต่อไปนี้.