幾天前 馬特·卡斯威爾 OpenSSL 項目開發團隊成員, 宣布發布 OpenSSL 3.0 經過 3 年的開發,17 個 alpha 版本、2 個 beta 版本、7500 多個確認和來自 350 多個不同作者的貢獻。
這就是 OpenSSL 很幸運有幾個全職工程師 誰在 OpenSSL 3.0 上工作,以各種方式資助。 一些公司已經與 OpenSSL 開發團隊簽署了支持合同,該團隊贊助了特定功能,例如 FIPS 模塊,該模塊計劃用 OpenSSL 3.0 恢復其驗證,但是,他們遇到了重大延遲,例如 FIPS 140-2 測試於 2021 月結束140 年,OpenSSL 最終決定也將精力集中在 FIPS 3-XNUMX 標准上。
關鍵功能 通過 OpenSSL 3.0 是新的 FIPS 模塊. OpenSSL 開發團隊正在測試該模塊並收集 FIPS 140-2 驗證所需的文檔。 在應用程序開發項目中使用新的 FIPS 模塊就像對配置文件進行一些更改一樣簡單,儘管許多應用程序需要進行其他更改。 FIPS 模塊手冊頁提供了有關如何在應用程序中使用 FIPS 模塊的信息。
還需要注意的是,從 OpenSSL 3.0 開始,OpenSSL 已切換到 Apache 2.0 許可證. OpenSSL 和 SSLeay 的舊“雙”許可證仍然適用於早期版本(1.1.1 和更早版本)。 OpenSSL 3.0 是一個主要版本,並不完全向後兼容。 大多數使用 OpenSSL 1.1.1 的應用程序將繼續保持不變,只需要重新編譯(可能會有許多關於使用過時 API 的編譯警告)。
使用 OpenSSL 3.0,可以以編程方式或通過配置文件指定用戶希望為給定應用程序使用的提供程序. OpenSSL 3.0 標配 5 個不同的提供商。 隨著時間的推移,第三方可能會分發可以與 OpenSSL 集成的其他提供程序。 供應商提供的所有算法實現都可以通過“高級”API(例如,帶有前綴 EVP 的函數)訪問。 無法使用“低級”API 訪問它。
可用的標準提供程序之一是 FIPS 提供程序,它提供 FIPS 驗證的加密算法。 FIPS 提供程序默認處於禁用狀態,必須在配置期間使用 enable-fips 選項顯式啟用。 如果啟用,除了其他標準提供程序之外,還會創建和安裝 FIPS 提供程序。
在應用程序中使用新的 FIPS 模塊就像對配置文件進行一些更改一樣簡單,儘管許多應用程序需要進行其他更改。 為使用 OpenSSL 3.0 FIPS 模塊而編寫的應用程序不應使用任何繞過 FIPS 模塊的遺留 API 或功能。 這尤其包括:
- 低級加密API(建議使用高級API,例如EVP);
MOTORES - 創建或修改自定義方法的所有函數(例如,EVP_MD_meth_new ()、EVP_CIPHER_meth_new ()、EVP_PKEY_meth_new ()、RSA_meth_new ()、EC_KEY_METHOD_new ())。
另一方面 OpenSSL 加密庫 (libcrypto) 實現了各種 Internet 標準中使用的各種加密算法。 功能包括對稱加密、公鑰加密、密鑰協商、證書管理、加密散列函數、加密偽隨機數生成器、消息認證代碼 (MAC)、密鑰派生函數 (KDF) 和各種實用程序。 該庫提供的服務用於實現許多其他第三方產品和協議。 下面是對關鍵 libcrypto 概念的概述。
諸如 SHA256 哈希或 AES 加密之類的加密原語在 OpenSSL 中稱為“算法”。 每個算法可以有多個可用的實現。 例如,RSA 算法可用作適用於一般用途的“默認”實現,以及已根據 FIPS 標准在重要情況下進行驗證的“fips”實現。 第三方也可以添加額外的實現,例如在硬件安全模塊 (HSM) 中。
終於 如果你有興趣了解 更多關於它,你可以檢查細節 在下面的鏈接中。