OpenSSL 3.0.0 arriba amb una gran quantitat de canvis importants i millores

Després de tres anys de desenvolupament i 19 versions de prova es va donar a conèixer fa poc el llançament de la nova versió d'OpenSSL 3.0.0 la qual té més de 7500 canvis aportats per 350 desenvolupadors i que també representa un canvi significatiu en el nombre de versió i que es deu a la transició a la numeració tradicional.

D'ara en endavant, el primer dígit (Major) en el nombre de versió canviarà sol quan es violi la compatibilitat en el nivell d'API / ABI, i el segon (Menor) quan s'augmenti la funcionalitat sense canviar l'API / ABI. Les actualitzacions correctives s'enviaran amb un canvi de tercer dígit (pegat). Es va triar el nombre 3.0.0 immediatament després de 1.1.1 per evitar col·lisions amb el mòdul FIPS en desenvolupament per OpenSSL, que tenia el número 2.x.

El segon canvi important per al projecte va ser la transició d'una llicència dual (OpenSSL i SSLeay) a una llicència Apache 2.0. La llicència OpenSSL nativa utilitzada anteriorment es basava en la llicència Apache 1.0 heretada i requeria una menció explícita d'OpenSSL en els materials promocionals quan s'usaven les biblioteques OpenSSL, i una nota especial si OpenSSL es va enviar amb el producte.

Aquests requisits van fer que la llicència anterior fos incompatible amb la GPL, el que dificultava l'ús d'OpenSSL en projectes amb llicència GPL. Per superar aquesta incompatibilitat, els projectes GPL es van veure obligats a aplicar acords de llicència específics, en els quals el text principal de la GPL es va complementar amb una clàusula que permetia explícitament que l'aplicació es vinculi amb la biblioteca OpenSSL i esmentant que la GPL no s'aplica a la vinculació amb OpenSSL.

Novetats d'OpenSSL 3.0.0

Per la part de les novetats que es presenten en OpenSSL 3.0.0 podrem trobar que s'ha proposat un nou mòdul FIPS, que inclou la implementació d'algoritmes criptogràfics que compleixen amb l'estàndard de seguretat FIPS 140-2 (el procés de certificació de la lliçó està planejat per començar aquest mes, i la certificació FIPS 140-2 s'espera el proper any). El nou mòdul és molt més fàcil d'usar i la seva connexió a moltes aplicacions no serà més difícil que canviar el fitxer de configuració. Per defecte, FIPS està deshabilitat i requereix que l'opció enable-fips estigui habilitada.

En libcrypto es va implementar el concepte de proveïdors de serveis connectats que va reemplaçar el concepte de motors (l'API ENGINE va quedar obsoleta). Amb l'ajuda de proveïdors, es pot afegir les seves pròpies implementacions d'algoritmes per a operacions com xifrat, desxifrat, generació de claus, càlcul MAC, creació i verificació de signatures digitals.

També es destaca que es ha afegit suport per CMP, que es pot usar per a sol·licitar certificats de servidor de CA, renovar certificats i revocar certificats. El treball amb CMP es realitza mitjançant la nova utilitat openssl-cmp, que també implementa el suport per al format CRMF i la transmissió de sol·licituds a través d'HTTP / HTTPS.

A més s'ha proposat una nova interfície de programació per a la generació de claus: EVP_KDF (API de funció de derivació de claus), que simplifica la incorporació de noves implementacions de KDF i PRF. L'antiga API EVP_PKEY, a través de la qual estaven disponibles els algoritmes scrypt, TLS1 PRF i HKDF, s'ha redissenyat en forma de capa intermèdia implementada sobre les API EVP_KDF i EVP_MAC.

I en la implementació de l'protocol TLS ofereix la possibilitat d'utilitzar el client i el servidor TLS integrats en el nucli de Linux per accelerar les operacions. Per habilitar la implementació de TLS proporcionada pel nucli de Linux, s'ha de habilitar l'opció «SSL_OP_ENABLE_KTLS» o la configuració «enable-ktls».

D'altra banda s'esmenta que una part important de l'API s'ha mogut a la categoria de obsoleta: L'ús de trucades obsoletes en el codi dels projectes generarà un advertiment durant la compilació. les API de baix nivell vinculades a certs algoritmes han estat declarades oficialment obsoletes.

El suport oficial a OpenSSL 3.0.0 ara es proporciona només per a les API de EVP d'alt nivell, extretes de certs tipus d'algoritmes (aquesta API inclou, per exemple, les funcions EVP_EncryptInit_ex, EVP_EncryptUpdate i EVP_EncryptFinal). Les API obsoletes s'eliminaran en una de les properes versions principals. Les implementacions d'algoritmes heretats, com MD2 i DES, disponibles a través de l'API de EVP, s'han mogut a un mòdul «heretat» separat, que està deshabilitat per omissió.

Finalment si estàs interessat en conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.


El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa http://secbcaixabank.info/SECB-COVIDXNUMX-DENUNCIA-INSPECCION-PROTOCOLO-.pdf.

Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.