OpenSSL 3.0.0には、多数の主要な変更と機能拡張が付属しています。

Darkcrizt

4分

19年間の開発とXNUMXの試用版の後 OpenSSL3.0.0の新しいバージョンのリリースが最近発表されました どれ 7500以上の変更があります 350人の開発者によって提供されました。これはバージョン番号の大幅な変更を表しており、これは従来の番号付けへの移行によるものです。

今後、バージョン番号の最初の桁(メジャー)は、API / ABIレベルで互換性に違反した場合にのみ変更され、3.0.0番目の桁(マイナー)は、API / ABIを変更せずに機能が拡張された場合に変更されます。 修正アップデートは、1.1.1桁目(パッチ)の変更とともに出荷されます。 2.xという番号のOpenSSL用に開発中のFIPSモジュールとの衝突を避けるために、XNUMXの直後にXNUMXという番号が選択されました。

プロジェクトのXNUMX番目の大きな変更は デュアルライセンスからの移行 (OpenSSLおよびSSLeay) Apache2.0ライセンスに。 以前に使用されたネイティブOpenSSLライセンスは、レガシーApache 1.0ライセンスに基づいており、OpenSSLライブラリを使用する場合は販促資料にOpenSSLを明示的に記載する必要があり、OpenSSLが製品に同梱されている場合は特記事項が必要です。

これらの要件により、以前のライセンスはGPLと互換性がなくなり、GPLライセンスのプロジェクトでOpenSSLを使用することが困難になりました。 この非互換性を回避するために、GPLプロジェクトは特定のライセンス契約を適用することを余儀なくされました。この契約では、GPLのメインテキストに、アプリケーションがOpenSSLライブラリにリンクすることを明示的に許可し、GPLはOpenSSL。

OpenSSL3.0.0の新機能

OpenSSL 3.0.0で提示されているノベルティの一部については、次のことがわかります。 新しいFIPSモジュールが提案されました。 その 暗号化アルゴリズムの実装が含まれます FIPS 140-2セキュリティ基準を満たしている(モジュール認証プロセスは今月開始される予定であり、FIPS 140-2認証は来年に予定されています)。 新しいモジュールははるかに使いやすく、多くのアプリケーションへの接続は構成ファイルを変更することほど難しくありません。 デフォルトでは、FIPSは無効になっており、enable-fipsオプションを有効にする必要があります。

libcryptoでは、接続されたサービスプロバイダーの概念が実装されました これはエンジンの概念に取って代わりました(ENGINE APIは非推奨になりました)。 ベンダーの助けを借りて、暗号化、復号化、キー生成、MAC計算、デジタル署名の作成と検証などの操作のための独自のアルゴリズム実装を追加できます。

また、次のことが強調されています CMPのサポートが追加されましたその CAサーバーからの証明書の要求、証明書の更新、および証明書の取り消しに使用できます。 CMPでの作業は、新しいユーティリティopenssl-cmpによって実行されます。このユーティリティは、CRMF形式とHTTP / HTTPSを介したリクエストの送信のサポートも実装しています。

また 鍵生成のための新しいプログラミングインターフェースが提案されました: EVP_KDF(Key Derivation Function API)。これにより、新しいKDFおよびPRF実装の組み込みが簡素化されます。 scryptアルゴリズムであるTLS1PRFおよびHKDFが使用可能であった古いEVP_PKEYAPIは、EVP_KDFおよびEVP_MACAPIの上に実装された中間レイヤーとして再設計されました。

そしてプロトコルの実装で TLSは、Linuxカーネルに組み込まれているTLSクライアントとサーバーを使用する機能を提供します 操作をスピードアップします。 Linuxカーネルによって提供されるTLS実装を有効にするには、「SSL_OP_ENABLE_KTLS」オプションまたは「enable-ktls」設定を有効にする必要があります。

一方で、 APIの大部分が非推奨のカテゴリに移動されました-プロジェクトコードで非推奨の呼び出しを使用すると、コンパイル中に警告が生成されます。 NS 低レベルAPI 特定のアルゴリズムにリンク 正式に廃止されたと宣言されました。

OpenSSL 3.0.0の公式サポートは、特定のタイプのアルゴリズムから抽出された高レベルのEVP APIに対してのみ提供されるようになりました(このAPIには、EVP_EncryptInit_ex、EVP_EncryptUpdate、EVP_EncryptFinal関数などが含まれます)。 廃止されたAPIは、次のメジャーリリースの2つで削除される予定です。 EVP APIを介して利用できるMDXNUMXやDESなどのレガシーアルゴリズムの実装は、デフォルトで無効になっている別の「レガシー」モジュールに移動されました。

最後に あなたがそれについてもっと知りたいのなら、 詳細を確認できます 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。