OpenSSL 3.0.0 přichází s řadou zásadních změn a vylepšení

Po třech letech vývoje a 19 zkušebních verzích nedávno bylo oznámeno vydání nové verze OpenSSL 3.0.0 který má více než 7500 změn přispělo 350 vývojářů a to také představuje významnou změnu v čísle verze, a to kvůli přechodu na tradiční číslování.

Od nynějška se první číslice (hlavní) v čísle verze změní pouze v případě porušení kompatibility na úrovni API / ABI a druhá (malá) při zvýšení funkčnosti bez změny API / ABI. Opravné aktualizace budou dodány se změnou třetí číslice (opravy). Číslo 3.0.0 bylo zvoleno bezprostředně po 1.1.1, aby se předešlo kolizím s vyvíjeným modulem FIPS pro OpenSSL, který byl očíslován 2.x.

Druhou zásadní změnou projektu bylo přechod z dvojí licence (OpenSSL a SSLeay) na licenci Apache 2.0. Nativní licence OpenSSL, která byla použita dříve, byla založena na starší licenci Apache 1.0 a vyžadovala výslovnou zmínku o OpenSSL v propagačních materiálech při používání knihoven OpenSSL a zvláštní poznámku, pokud byl s produktem dodáván OpenSSL.

Díky těmto požadavkům byla předchozí licence nekompatibilní s GPL, což ztěžovalo používání OpenSSL v projektech s licencí GPL. Aby se předešlo této neslučitelnosti, byly projekty GPL nuceny aplikovat konkrétní licenční smlouvy, ve kterých byl hlavní text GPL doplněn klauzulí, která výslovně umožňovala aplikaci propojit knihovnu OpenSSL a zmínit, že GPL se nevztahuje na vazbu s OpenSSL.

Co je nového v OpenSSL 3.0.0

U části novinek, které jsou uvedeny v OpenSSL 3.0.0, to můžeme najít byl navržen nový modul FIPS, že zahrnuje implementaci kryptografických algoritmů které splňují bezpečnostní standard FIPS 140-2 (proces certifikace modulů má být zahájen tento měsíc a certifikace FIPS 140-2 se očekává příští rok). Nový modul je mnohem jednodušší na používání a připojení k mnoha aplikacím nebude o nic obtížnější než změna konfiguračního souboru. Ve výchozím nastavení je FIPS zakázán a vyžaduje, aby byla povolena možnost enable-fips.

V libcrypto byl implementován koncept připojených poskytovatelů služeb který nahradil koncept motorů (rozhraní ENGINE API bylo zastaralé). S pomocí dodavatelů můžete přidat vlastní implementace algoritmů pro operace, jako je šifrování, dešifrování, generování klíčů, výpočet MAC, vytváření a ověřování digitálních podpisů.

Je také zdůrazněno, že přidána podpora pro CMPŽe Lze jej použít k vyžádání certifikátů ze serveru CA, obnovení certifikátů a zrušení certifikátů. Práci s CMP provádí nový nástroj openssl-cmp, který také implementuje podporu pro formát CRMF a přenos požadavků přes HTTP / HTTPS.

Také Bylo navrženo nové programovací rozhraní pro generování klíčů: EVP_KDF (Key Derivation Function API), což zjednodušuje začlenění nových implementací KDF a PRF. Staré API EVP_PKEY, přes které byly k dispozici scryptové algoritmy, TLS1 PRF a HKDF, bylo přepracováno jako mezivrstva implementovaná nad API EVP_KDF a EVP_MAC.

A při implementaci protokolu TLS nabízí možnost používat klienta a server TLS zabudovaný do jádra Linuxu k urychlení operací. Chcete-li povolit implementaci TLS poskytovanou jádrem Linuxu, musí být povolena možnost „SSL_OP_ENABLE_KTLS“ nebo nastavení „enable-ktls“.

Na druhé straně je uvedeno, že významná část rozhraní API byla přesunuta do zastaralé kategorie- Použití zastaralých volání v kódu projektu vygeneruje během kompilace varování. The Nízkoúrovňové API spojené s určitými algoritmy byly oficiálně prohlášeny za zastaralé.

Oficiální podpora v OpenSSL 3.0.0 je nyní poskytována pouze pro API EVP na vysoké úrovni, čerpaná z určitých typů algoritmů (toto API zahrnuje například funkce EVP_EncryptInit_ex, EVP_EncryptUpdate a EVP_EncryptFinal). Zastaralá rozhraní API budou odstraněna v jednom z příštích hlavních vydání. Implementace starších algoritmů, jako jsou MD2 a DES, dostupné prostřednictvím rozhraní EVP API, byly přesunuty do samostatného "staršího" modulu, který je ve výchozím nastavení zakázán.

Konečně pokud se o tom chcete dozvědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.


Buďte první komentář

Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.