Ilang araw na ang nakakalipas Matt Caswell, miyembro ng koponan ng pag-unlad ng proyekto ng OpenSSL, inihayag ang paglabas ng OpenSSL 3.0 na darating pagkatapos ng 3 taon ng pag-unlad, 17 mga bersyon ng alpha, 2 mga bersyon ng beta, higit sa 7500 mga kumpirmasyon at kontribusyon mula sa higit sa 350 magkakaibang mga may-akda.
At ito ang OpenSSL na iyon ay masuwerte na nagkaroon ng maraming mga full-time na inhinyero na nagtrabaho sa OpenSSL 3.0, nagpopondo sa iba`t ibang paraan. Ang ilang mga kumpanya ay pumirma sa mga kontrata ng suporta sa koponan ng kaunlaran ng OpenSSL, na nag-sponsor ng mga tiyak na pag-andar tulad ng module ng FIPS na may mga plano na ibalik ang pagpapatunay nito sa OpenSSL 3.0, gayunpaman, nakatagpo sila ng mga makabuluhang pagkaantala at, tulad ng mga 140-2 na mga pagsubok na natapos noong Setyembre 2021, sa wakas ay nagpasya ang OpenSSL na ituon ang mga pagsisikap nito sa mga pamantayan din ng 140-3.
Isang pangunahing tampok sa pamamagitan ng OpenSSL 3.0 ay ang bagong module ng FIPS. Ang koponan sa pag-unlad ng OpenSSL ay sinusubukan ang module at kinokolekta ang mga kinakailangang dokumento para sa pagpapatunay ng 140-2 na pag-validate. Ang paggamit ng bagong module ng FIPS sa mga proyekto sa pagbuo ng aplikasyon ay maaaring maging kasing dali ng paggawa ng ilang mga pagbabago sa file ng pagsasaayos, bagaman maraming mga aplikasyon ang kailangang gumawa ng iba pang mga pagbabago. Ang pahina ng manlalaro ng module ng pagdudulot ay nagbibigay ng impormasyon sa kung paano gamitin ang module ng FIPS sa iyong mga aplikasyon.
Dapat ding pansinin na dahil mula sa OpenSSL 3.0, OpenSSL lumipat sa Apache 2.0 na lisensya. Ang lumang "dalawahan" na mga lisensya para sa OpenSSL at SSLeay ay nalalapat pa rin sa mga naunang bersyon (1.1.1 at mas maaga). Ang OpenSSL 3.0 ay isang pangunahing bersyon at hindi ganap na paatras na katugma. Karamihan sa mga application na nagtrabaho sa OpenSSL 1.1.1 ay magpapatuloy na gumana nang hindi nababago at kakailanganin lamang na muling magkumpuni (posibleng may maraming mga babala sa pagsasama-sama tungkol sa paggamit ng mga luma na API).
Sa OpenSSL 3.0, posible na tukuyin, alinman sa programa o sa pamamagitan ng isang file ng pagsasaayos, kung aling mga provider ang nais gamitin ng gumagamit para sa isang naibigay na application. Ang OpenSSL 3.0 ay may pamantayan sa 5 magkakaibang mga tagabigay. Sa paglipas ng panahon, ang mga third party ay maaaring mamahagi ng karagdagang mga provider na maaaring isama sa OpenSSL. Ang lahat ng pagpapatupad ng mga algorithm na magagamit mula sa mga vendor ay naa-access sa pamamagitan ng mga "mataas na antas" na mga API (halimbawa, mga pagpapaandar na may awtomatikong EVP). Hindi ito ma-access gamit ang mga "mababang antas" na API.
Ang isa sa mga karaniwang magagamit na tagapagbigay ay ang tagapagbigay ng FIPS na nagbibigay ng FIPS na napatunayan na mga cryptographic algorithm. Ang provider ng FIPS ay hindi pinagana sa pamamagitan ng default at dapat na malinaw na pinagana sa panahon ng pagsasaayos gamit ang pagpipiliang paganahin ang-fips. Kung pinagana, ang provider ng FIPS ay nilikha at na-install bilang karagdagan sa iba pang mga karaniwang tagabigay.
Ang paggamit ng bagong module ng FIPS sa mga application ay maaaring maging kasing dali ng paggawa ng ilang mga pagbabago sa file ng pagsasaayos, bagaman maraming mga aplikasyon ang kailangang gumawa ng iba pang mga pagbabago. Ang mga application na nakasulat upang magamit ang OpenSSL 3.0 FIPS module ay hindi dapat gumamit ng anumang mga legacy API o tampok na bypass ang module ng FIPS. Partikular na kasama rito:
- Mga mababang antas ng cryptographic API (inirerekumenda na gumamit ng mga mataas na antas na API, tulad ng EVP);
Motores - lahat ng mga pagpapaandar na lumilikha o nagbabago ng mga pasadyang pamamaraan (halimbawa, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
Sa kabilang banda ang OpenSSL cryptographic library (libcrypto) nagpapatupad ng isang malawak na hanay ng mga cryptographic algorithm na ginagamit sa iba't ibang mga pamantayan sa Internet. Ang pag-andar ay may kasamang symmetric encryption, pampublikong key cryptography, key agreement, pamamahala ng sertipiko, cryptographic hashing function, cryptographic pseudo-random number generators, message authentication code (MAC), key derivation function (KDF), at iba`t ibang mga utility. Ang mga serbisyong ipinagkakaloob ng library na ito ay ginagamit upang magpatupad ng maraming iba pang mga produkto at protokol ng third party. Narito ang isang pangkalahatang ideya ng mga pangunahing konsepto ng libcrypto sa ibaba.
Ang mga cryptographic primitives tulad ng SHA256 hash o AES na naka-encrypt ay tinatawag na "mga algorithm" sa OpenSSL. Ang bawat algorithm ay maaaring magkaroon ng maraming magagamit na pagpapatupad. Halimbawa, ang RSA algorithm ay magagamit bilang isang "default" na pagpapatupad na angkop para sa pangkalahatang paggamit, at isang pagpapatupad na "fips" na napatunayan laban sa mga pamantayan ng FIPS para sa mga sitwasyon kung saan ito mahalaga. Posible rin para sa isang third party na magdagdag ng karagdagang mga pagpapatupad, halimbawa sa isang module ng seguridad ng hardware (HSM).
Sa wakas kung interesado kang malaman higit pa tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.