Μετά από τρία χρόνια ανάπτυξης και 19 δοκιμαστικές εκδόσεις πρόσφατα ανακοινώθηκε η κυκλοφορία της νέας έκδοσης του OpenSSL 3.0.0 οι οποίες έχει περισσότερες από 7500 αλλαγές συνέβαλαν 350 προγραμματιστές και αυτό αντιπροσωπεύει επίσης μια σημαντική αλλαγή στον αριθμό έκδοσης και αυτό οφείλεται στη μετάβαση στην παραδοσιακή αρίθμηση.
Στο εξής, το πρώτο ψηφίο (Κύριο) στον αριθμό έκδοσης θα αλλάξει μόνο όταν παραβιάζεται η συμβατότητα σε επίπεδο API / ABI και το δεύτερο (Μικρό) όταν η λειτουργικότητα αυξάνεται χωρίς αλλαγή του API / ABI. Οι διορθωτικές ενημερώσεις θα αποστέλλονται με ένα τρίτο ψηφίο (patch) αλλαγή. Ο αριθμός 3.0.0 επιλέχθηκε αμέσως μετά την 1.1.1 για να αποφευχθούν συγκρούσεις με την ενότητα FIPS που αναπτύσσεται για το OpenSSL, η οποία αριθμήθηκε 2.x.
Η δεύτερη σημαντική αλλαγή για το έργο ήταν η μετάβαση από διπλή άδεια (OpenSSL και SSLeay) σε άδεια Apache 2.0. Η εγγενής άδεια OpenSSL που χρησιμοποιήθηκε προηγουμένως βασίστηκε στην παλαιά άδεια Apache 1.0 και απαιτούσε ρητή αναφορά του OpenSSL σε διαφημιστικό υλικό όταν χρησιμοποιούσατε τις βιβλιοθήκες OpenSSL και μια ειδική σημείωση εάν το OpenSSL αποστέλλονταν μαζί με το προϊόν.
Αυτές οι απαιτήσεις καθιστούσαν την προηγούμενη άδεια ασυμβίβαστη με την GPL, καθιστώντας δύσκολη τη χρήση του OpenSSL σε έργα με άδεια GPL. Για να παρακάμψουν αυτό το ασυμβίβαστο, τα έργα GPL αναγκάστηκαν να επιβάλλουν συγκεκριμένες συμφωνίες άδειας, στις οποίες το κύριο κείμενο της GPL συμπληρώθηκε με μια ρήτρα που επιτρέπει ρητά την εφαρμογή να συνδεθεί με τη βιβλιοθήκη OpenSSL και αναφέρει ότι η GPL δεν ισχύει για τη δέσμευση για OpenSSL Το
Τι νέο υπάρχει στο OpenSSL 3.0.0
Για το μέρος των καινοτομιών που παρουσιάζονται στο OpenSSL 3.0.0 μπορούμε να το βρούμε έχει προταθεί μια νέα ενότητα FIPS, ότι περιλαμβάνει την εφαρμογή κρυπτογραφικών αλγορίθμων που πληρούν το πρότυπο ασφάλειας FIPS 140-2 (η διαδικασία πιστοποίησης των μονάδων προγραμματίζεται να ξεκινήσει αυτόν τον μήνα και η πιστοποίηση FIPS 140-2 αναμένεται το επόμενο έτος). Η νέα μονάδα είναι πολύ πιο εύκολη στη χρήση και η σύνδεση σε πολλές εφαρμογές δεν θα είναι πιο δύσκολη από την αλλαγή του αρχείου διαμόρφωσης. Από προεπιλογή, το FIPS είναι απενεργοποιημένο και απαιτεί την ενεργοποίηση της επιλογής ενεργοποίησης.
Στο libcrypto εφαρμόστηκε η έννοια των συνδεδεμένων παρόχων υπηρεσιών που αντικατέστησε την έννοια των κινητήρων (το API ΚΙΝΗΤΗΡΑ καταργήθηκε). Με τη βοήθεια προμηθευτών, μπορείτε να προσθέσετε τις δικές σας εφαρμογές αλγορίθμων για λειτουργίες όπως κρυπτογράφηση, αποκρυπτογράφηση, δημιουργία κλειδιών, υπολογισμός MAC, δημιουργία και επαλήθευση ψηφιακών υπογραφών.
Επισημαίνεται επίσης ότι πρόσθετη υποστήριξη για CMPΌτι Μπορεί να χρησιμοποιηθεί για να ζητήσετε πιστοποιητικά από τον διακομιστή CA, να ανανεώσετε τα πιστοποιητικά και να ανακαλέσετε πιστοποιητικά. Η συνεργασία με το CMP γίνεται από το νέο βοηθητικό πρόγραμμα openssl-cmp, το οποίο υλοποιεί επίσης υποστήριξη για τη μορφή CRMF και τη μετάδοση αιτημάτων μέσω HTTP / HTTPS.
Επίσης Έχει προταθεί μια νέα διεπαφή προγραμματισμού για τη δημιουργία κλειδιών: EVP_KDF (Key Derivation Function API), το οποίο απλοποιεί την ενσωμάτωση νέων εφαρμογών KDF και PRF. Το παλιό API EVP_PKEY, μέσω του οποίου ήταν διαθέσιμοι οι αλγόριθμοι scrypt, TLS1 PRF και HKDF, έχει επανασχεδιαστεί ως ένα ενδιάμεσο επίπεδο που εφαρμόζεται πάνω από τα API EVP_KDF και EVP_MAC.
Και στην εφαρμογή του πρωτοκόλλου Το TLS προσφέρει τη δυνατότητα χρήσης του προγράμματος -πελάτη TLS και του διακομιστή που είναι ενσωματωμένος στον πυρήνα Linux για την επιτάχυνση των εργασιών. Για να ενεργοποιήσετε την εφαρμογή TLS που παρέχεται από τον πυρήνα Linux, πρέπει να είναι ενεργοποιημένη η επιλογή "SSL_OP_ENABLE_KTLS" ή η ρύθμιση "enable-ktls".
Από την άλλη πλευρά αναφέρεται ότι ένα σημαντικό μέρος του API έχει μεταφερθεί στην κατηγορία που έχει καταργηθεί- Η χρήση καταργημένων κλήσεων στον κώδικα έργου θα δημιουργήσει μια προειδοποίηση κατά τη μεταγλώττιση. ο Χαμηλού επιπέδου API συνδέονται με ορισμένους αλγόριθμους έχουν κηρυχθεί επίσημα παρωχημένα.
Η επίσημη υποστήριξη στο OpenSSL 3.0.0 παρέχεται πλέον μόνο για API υψηλού επιπέδου, που προέρχονται από συγκεκριμένους τύπους αλγορίθμων (αυτό το API περιλαμβάνει, για παράδειγμα, τις λειτουργίες EVP_EncryptInit_ex, EVP_EncryptUpdate και EVP_EncryptFinal). Τα παρωχημένα API θα καταργηθούν σε μία από τις επόμενες μεγάλες κυκλοφορίες. Οι εφαρμογές αλγορίθμων παλαιού τύπου, όπως οι MD2 και DES, που διατίθενται μέσω του API EVP, έχουν μετακινηθεί σε μια ξεχωριστή ενότητα "παλαιού τύπου", η οποία είναι απενεργοποιημένη από προεπιλογή.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.