几天前 马特·卡斯威尔 OpenSSL 项目开发团队成员, 宣布发布 OpenSSL 3.0 经过 3 年的开发,17 个 alpha 版本、2 个 beta 版本、7500 多个确认和来自 350 多个不同作者的贡献。
这就是 OpenSSL 很幸运有几个全职工程师 谁在 OpenSSL 3.0 上工作,以各种方式资助。 一些公司已经与 OpenSSL 开发团队签署了支持合同,该团队赞助了一些特定的功能,例如 FIPS 模块,该模块计划用 OpenSSL 3.0 恢复其验证,但是,他们遇到了重大延迟,例如 FIPS 140-2 测试于 2021 月结束140 年,OpenSSL 最终决定也将精力集中在 FIPS 3-XNUMX 标准上。
关键功能 通过 OpenSSL 3.0 是新的 FIPS 模块. OpenSSL 开发团队正在测试该模块并收集 FIPS 140-2 验证所需的文档。 在应用程序开发项目中使用新的 FIPS 模块就像对配置文件进行一些更改一样简单,尽管许多应用程序需要进行其他更改。 FIPS 模块手册页提供了有关如何在应用程序中使用 FIPS 模块的信息。
还需要注意的是,从 OpenSSL 3.0 开始,OpenSSL 已切换到 Apache 2.0 许可证. OpenSSL 和 SSLeay 的旧“双”许可证仍然适用于早期版本(1.1.1 和更早版本)。 OpenSSL 3.0 是一个主要版本,并不完全向后兼容。 大多数使用 OpenSSL 1.1.1 的应用程序将继续保持不变,只需要重新编译(可能会有很多关于使用过时 API 的编译警告)。
使用 OpenSSL 3.0,可以通过编程方式或通过配置文件指定用户希望为给定应用程序使用的提供程序. OpenSSL 3.0 标配 5 个不同的提供商。 随着时间的推移,第三方可能会分发可以与 OpenSSL 集成的其他提供程序。 供应商提供的所有算法实现都可以通过“高级”API(例如,带有前缀 EVP 的函数)访问。 无法使用“低级”API 访问它。
可用的标准提供程序之一是 FIPS 提供程序,它提供 FIPS 验证的加密算法。 FIPS 提供程序默认处于禁用状态,必须在配置期间使用 enable-fips 选项显式启用。 如果启用,除了其他标准提供程序之外,还会创建和安装 FIPS 提供程序。
在应用程序中使用新的 FIPS 模块就像对配置文件进行一些更改一样简单,尽管许多应用程序需要进行其他更改。 为使用 OpenSSL 3.0 FIPS 模块而编写的应用程序不应使用任何绕过 FIPS 模块的遗留 API 或功能。 这尤其包括:
- 低级加密API(建议使用高级API,例如EVP);
引擎 - 创建或修改自定义方法的所有函数(例如,EVP_MD_meth_new ()、EVP_CIPHER_meth_new ()、EVP_PKEY_meth_new ()、RSA_meth_new ()、EC_KEY_METHOD_new ())。
而且 OpenSSL 加密库 (libcrypto) 实现了各种 Internet 标准中使用的各种加密算法。 功能包括对称加密、公钥加密、密钥协商、证书管理、加密散列函数、加密伪随机数生成器、消息认证代码 (MAC)、密钥派生函数 (KDF) 和各种实用程序。 该库提供的服务用于实现许多其他第三方产品和协议。 下面是对关键 libcrypto 概念的概述。
诸如 SHA256 哈希或 AES 加密之类的加密原语在 OpenSSL 中称为“算法”。 每个算法可以有多个可用的实现。 例如,RSA 算法可用作适用于一般用途的“默认”实现,以及已根据 FIPS 标准在重要情况下进行验证的“fips”实现。 第三方也可以添加额外的实现,例如在硬件安全模块 (HSM) 中。
最后 如果你有兴趣了解 更多关于它,你可以检查细节 在下面的链接中。