Кілька днів тому Метт Касвелл, член команди розробників проекту OpenSSL, оголосила про вихід OpenSSL 3.0 який з'являється після 3 років розробки, 17 альфа -версій, 2 бета -версії, понад 7500 підтверджень та внесків від більш ніж 350 різних авторів.
І це те, що OpenSSL пощастило мати кілька штатних інженерів які працювали над OpenSSL 3.0, що фінансується різними способами. Деякі компанії підписали контракти на підтримку з командою розробників OpenSSL, яка спонсорувала конкретні функції, такі як модуль FIPS, який планував відновити його перевірку за допомогою OpenSSL 3.0, однак вони зіткнулися зі значними затримками і, як і тести FIPS 140-2, завершені у вересні У 2021 році OpenSSL нарешті вирішив зосередити свої зусилля і на стандартах FIPS 140-3.
Ключова особливість за допомогою OpenSSL 3.0 це новий модуль FIPS. Команда розробників OpenSSL тестує модуль і збирає необхідні документи для перевірки FIPS 140-2. Використання нового модуля FIPS у проектах розробки додатків може бути таким же простим, як і внесення деяких змін до файлу конфігурації, хоча багатьом додаткам потрібно буде внести інші зміни. Довідкова сторінка модуля FIPS містить інформацію про те, як використовувати модуль FIPS у своїх програмах.
Слід також зазначити, що оскільки OpenSSL 3.0, OpenSSL перейшов на ліцензію Apache 2.0. Старі "подвійні" ліцензії для OpenSSL і SSLeay все ще застосовуються до більш ранніх версій (1.1.1 і більш ранніх). OpenSSL 3.0 є основною версією і не повністю сумісна з попередньою версією. Більшість програм, які працювали з OpenSSL 1.1.1, продовжуватимуть працювати без змін і їх просто потрібно буде перекомпілювати (можливо, з великою кількістю попереджень про компіляцію щодо використання застарілих API).
За допомогою OpenSSL 3.0 можна визначити програмно або через файл конфігурації, яких постачальників користувач хоче використовувати для певної програми. OpenSSL 3.0 стандартно поставляється з 5 різними постачальниками. З часом треті сторони можуть розповсюджувати додаткових постачальників, які можуть бути інтегровані з OpenSSL. Усі реалізації алгоритмів, доступні від постачальників, доступні через "високорівневі" API (наприклад, функції з префіксом EVP). До нього неможливо отримати доступ за допомогою "низькорівневих" API.
Одним із стандартних доступних постачальників є постачальник FIPS, який надає перевірені криптографічні алгоритми FIPS. Провайдер FIPS відключений за замовчуванням і повинен бути явно включений під час налаштування за допомогою опції enable-fips. Якщо цей параметр увімкнено, постачальник FIPS створюється та інсталюється на додаток до інших стандартних провайдерів.
Використання нового модуля FIPS в програмах може бути таким же простим, як і внесення деяких змін до файлу конфігурації, хоча багатьом програмам потрібно буде внести інші зміни. Додатки, написані для використання модуля FIPS OpenSSL 3.0 FIPS, не повинні використовувати будь -які застарілі API або функції, що обходять модуль FIPS. Це зокрема включає:
- Низькорівневі криптографічні API (рекомендується використовувати високорівневі API, такі як EVP);
Motores - усі функції, які створюють або змінюють користувацькі методи (наприклад, EVP_MD_meth_new (), EVP_CIPHER_meth_new (), EVP_PKEY_meth_new (), RSA_meth_new (), EC_KEY_METHOD_new ()).
З іншого боку криптографічну бібліотеку OpenSSL (libcrypto) реалізує широкий спектр криптографічних алгоритмів, що використовуються в різних стандартах Інтернету. Функціональні можливості включають симетричне шифрування, криптографію з відкритим ключем, угоду ключів, управління сертифікатами, функції криптографічного хешування, генератори криптографічних псевдовипадкових чисел, коди автентифікації повідомлень (MAC), функції виведення ключів (KDF) та різні утиліти. Послуги, що надаються цією бібліотекою, використовуються для реалізації багатьох інших продуктів та протоколів сторонніх виробників. Нижче наведено огляд ключових концепцій libcrypto.
Криптографічні примітиви, такі як хешування SHA256 або шифрування AES, в OpenSSL називаються "алгоритмами". Кожен алгоритм може мати декілька реалізацій. Наприклад, алгоритм RSA доступний як реалізація "за замовчуванням", придатна для загального використання, та "fips" реалізація, яка була перевірена за стандартами FIPS для ситуацій, де це важливо. Третя сторона також може додати додаткові реалізації, наприклад, в апаратний модуль безпеки (HSM).
В кінці кінців якщо вам цікаво знати докладніше про це, ви можете перевірити деталі У наступному посиланні.