OpenSSL 3.0.0 көптеген ірі өзгерістер мен жақсартулармен бірге келеді

Үш жылдық даму мен 19 сынақ нұсқасынан кейін OpenSSL 3.0.0 жаңа нұсқасының шығуы жақында жарияланды қайсысы 7500 -ден астам өзгерістер бар 350 әзірлеуші ​​қосқан, бұл нұсқа нөмірінің айтарлықтай өзгеруін білдіреді және бұл дәстүрлі нөмірленуге көшуге байланысты.

Бұдан былай нұсқа нөміріндегі бірінші цифр (негізгі) API / ABI деңгейінде үйлесімділік бұзылғанда ғана өзгереді, ал API (ABI) өзгертпей функционалдылық жоғарылаған кезде екінші (кіші). Түзетуші жаңартулар үшінші сан (патч) өзгерісімен жеткізіледі. 3.0.0 нөмірі 1.1.1 нөмірленген OpenSSL үшін әзірленіп жатқан FIPS модулімен соқтығыспау үшін 2 -ден кейін бірден таңдалды.

Жоба үшін екінші маңызды өзгеріс болды қос лицензиядан көшу (OpenSSL және SSLeay) Apache 2.0 лицензиясына. Бұрын қолданылған OpenSSL лицензиясы бұрынғы Apache 1.0 лицензиясына негізделген және OpenSSL кітапханаларын пайдалану кезінде жарнамалық материалдарда OpenSSL туралы нақты айтуды талап етеді және егер OpenSSL өніммен бірге жеткізілсе, арнайы ескерту қажет.

Бұл талаптар GPL лицензияланған жобаларда OpenSSL қолдануды қиындатып, бұрынғы лицензияны GPL -мен үйлесімсіз етті. Бұл үйлесімсіздікті айналып өту үшін GPL жобалары GPL негізгі мәтіні қосымшаның OpenSSL кітапханасына сілтеме жасауға рұқсат беретін және GPL OpenSSL байланыстыруға қолданылмайтынын ескеретін тармақпен толықтырылған арнайы лицензиялық келісімдерді орындауға мәжбүр болды. .

OpenSSL 3.0.0 жаңа нұсқасы

OpenSSL 3.0.0 -де ұсынылған жаңалықтардың бір бөлігі үшін біз оны таба аламыз жаңа FIPS модулі ұсынылды, Que криптографиялық алгоритмдерді енгізуді қамтиды FIPS 140-2 қауіпсіздік стандартына сәйкес келетіндер (модульді сертификаттау процесі осы айда басталады, ал келесі жылы FIPS 140-2 сертификаты күтіледі). Жаңа модульді қолдану әлдеқайда жеңіл және көптеген қосымшаларға қосылу конфигурация файлын өзгертуден қиын болмайды. Әдепкі бойынша, FIPS өшірулі және қосуды қосуды қосуды қажет етеді.

Libcrypto -да байланысқан провайдерлер тұжырымдамасы енгізілді қозғалтқыштар тұжырымдамасын ауыстырды (ENGINE API ескірген). Жеткізушілердің көмегімен сіз шифрлау, шифрды ашу, кілттерді генерациялау, MAC есептеу, ЭЦҚ құру және тексеру сияқты операцияларға өзіңіздің жеке алгоритмді енгізе аласыз.

Бұл да баса айтылады CMP қолдауын қосты, Que Ол CA серверінен сертификаттарды сұрау, сертификаттарды жаңарту және сертификаттарды қайтару үшін пайдаланылуы мүмкін. CMP-мен жұмыс CRSF форматын қолдауды және HTTP / HTTPS арқылы сұраныстарды жіберуді іске асыратын openssl-cmp жаңа утилитасымен жүзеге асады.

Сонымен қатар Кілттерді құруға арналған жаңа бағдарламалау интерфейсі ұсынылды: EVP_KDF (Key Derivation Function API), бұл жаңа KDF және PRF енгізулерін енгізуді жеңілдетеді. Ескі EVP_PKEY API, ол арқылы скрипт, TLS1 PRF және HKDF алгоритмдері қол жетімді болды, EVP_KDF және EVP_MAC API үстінде орындалатын аралық қабат ретінде қайта жасалды.

Және хаттаманы жүзеге асыруда TLS Linux ядросына кіретін TLS клиенті мен серверін пайдалану мүмкіндігін ұсынады операцияларды жеделдету үшін. Linux ядросы ұсынған TLS енгізуді қосу үшін «SSL_OP_ENABLE_KTLS» опциясын немесе «enable-ktls» параметрін қосу керек.

Екінші жағынан, бұл туралы айтылады API маңызды бөлігі ескірген санатқа ауыстырылды- Жоба кодында ескірген қоңырауларды қолдану компиляция кезінде ескерту жасайды. The Төмен деңгейлі API белгілі бір алгоритмдерге байланысты ресми түрде ескірген деп танылды.

OpenSSL 3.0.0-дегі ресми қолдау енді алгоритмдердің жекелеген түрлерінен алынған жоғары деңгейлі EVP API үшін ғана беріледі (бұл API, мысалы, EVP_EncryptInit_ex, EVP_EncryptUpdate және EVP_EncryptFinal функцияларын қамтиды). Ескірген API келесі ірі шығарылымдардың бірінде жойылады. EVP API арқылы қол жетімді MD2 және DES сияқты алгоритмнің ескі енгізілімдері әдепкі бойынша өшірілген бөлек «ескі» модульге көшірілді.

Finalmente егер сіз бұл туралы көбірек білгіңіз келсе, егжей-тегжейін тексеруге болады Келесі сілтемеде.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.