OpenSSL 3.0.0 kënnt mat enger ganzer Rei vu groussen Ännerungen an Verbesserungen

No dräi Joer Entwécklung an 19 Testversiounen d'Verëffentlechung vun der neier Versioun vun OpenSSL 3.0.0 gouf kierzlech ugekënnegt déi huet méi wéi 7500 Ännerungen bäigedroen vun 350 Entwéckler an dat stellt och eng bedeitend Ännerung vun der Versiounsnummer duer an dat ass wéinst dem Iwwergank op traditionell Nummeréierung.

Vun elo un ännert déi éischt Ziffer (Major) an der Versiounsnummer nëmmen wann d'Kompatibilitéit um API / ABI Niveau verletzt gëtt, an déi zweet (Manner) wann d'Funktionalitéit erhéicht gëtt ouni d'API / ABI z'änneren. Korrektiv Updates ginn mat enger drëtter Ziffer (Patch) Ännerung verschéckt. D'Zuel 3.0.0 gouf direkt nom 1.1.1 gewielt fir Kollisiounen mam FIPS Modul ënner Entwécklung fir OpenSSL ze vermeiden, deen nummeréiert 2.x.

Déi zweet grouss Ännerung fir de Projet war den Iwwergank vun enger duebeler Lizenz (OpenSSL an SSLeay) op eng Apache 2.0 Lizenz. Déi gebierteg OpenSSL Lizenz déi virdru benotzt gouf baséiert op der Legacy Apache 1.0 Lizenz an erfuerdert explizit Erwähnung vun OpenSSL a Promotiounsmaterial wann Dir OpenSSL Bibliothéike benotzt, an eng speziell Notiz wann OpenSSL mam Produkt verschéckt gouf.

Dës Ufuerderunge hunn déi vireg Lizenz inkompatibel mat der GPL gemaach, wat et schwéier mécht OpenSSL an GPL lizenzéierte Projeten ze benotzen. Fir dës Onkompatibilitéit z'evitéieren, goufen GPL Projete gezwongen spezifesch Lizenzverträg ëmzesetzen, an deem den Haapttext vum GPL mat enger Klausel ergänzt gouf, déi explizit erlaabt datt d'Applikatioun mat der OpenSSL Bibliothéik verbënnt an ernimmt datt de GPL net gëlt fir Bindung mat OpenSSL .

Wat ass nei an OpenSSL 3.0.0

Fir den Deel vun den Neiheeten, déi an OpenSSL 3.0.0 presentéiert ginn, kënne mir dat fannen en neie FIPS Modul gouf virgeschloen, Q enthält d'Ëmsetze vu kryptografesche Algorithmen déi dem FIPS 140-2 Sécherheetsstandard entspriechen (de Modul Zertifizéierungsprozess ass geplangt fir dëse Mount unzefänken, an FIPS 140-2 Zertifizéierung gëtt d'nächst Joer erwaart). Den neie Modul ass vill méi einfach ze benotzen an d'Verbindung mat ville Uwendungen wäert net méi schwéier sinn wéi d'Konfiguratiounsdatei z'änneren. Par défaut ass FIPS ausgeschalt a erfuerdert datt d'aktivéiert-fips Optioun aktivéiert ass.

Am libcrypto gouf d'Konzept vu verbonne Servicer Ubidder ëmgesat deen d'Konzept vun de Motoren ersat huet (d'MOTOR API gouf ofgesat). Mat der Hëllef vu Verkeefer kënnt Dir Är eege Algorithmus Implementatioune fir Operatiounen derbäisetzen wéi Verschlësselung, Entschlësselung, Schlësselgeneratioun, MAC Berechnung, Kreatioun a Verifizéierung vun digitale Ënnerschrëften.

Et gëtt och betount datt zousätzlech Ënnerstëtzung fir CMP, et Et kann benotzt ginn fir Zertifikater vum CA Server ze froen, Zertifikater ze erneieren an Zertifikater zréckzéien. Schaffe mat CMP gëtt gemaach vun der neier Utility openssl-cmp, déi och Ënnerstëtzung fir den CRMF Format implementéiert an d'Transmissioun vun Ufroe iwwer HTTP / HTTPS.

Zousätzlech Eng nei Programméierungsinterface fir Schlëssel Generatioun gouf virgeschloen: EVP_KDF (Key Derivation Function API), wat d'Onboarding vun neie KDF a PRF Implementatioune vereinfacht. Déi al EVP_PKEY API, duerch déi d'Scrypt, TLS1 PRF an HKDF Algorithmen verfügbar waren, gouf nei designt als Zwëschelayer uewen op den EVP_KDF an EVP_MAC APIen implementéiert.

An an der Ëmsetzung vum Protokoll TLS bitt d'Fäegkeet den TLS Client a Server ze benotzen deen am Linux Kernel agebaut ass fir Operatiounen ze beschleunegen. Fir d'TLS Implementéierung vum Linux Kernel z'erméiglechen, muss d'Optioun "SSL_OP_ENABLE_KTLS" oder d'Astellung "enable-ktls" aktivéiert sinn.

Op der anerer Säit gëtt et erwähnt datt e wesentlechen Deel vun der API gouf an déi ofgebauter Kategorie geplënnert- Benotze vu veralteten Uriff an Äre Projete Code generéiert eng Warnung wärend der Kompilatioun. Den Nidderegen Niveau API mat bestëmmte Algorithmen verbonnen goufen offiziell als onbestänneg deklaréiert.

Offiziell Ënnerstëtzung an OpenSSL 3.0.0 gëtt elo nëmme fir héich Niveau EVP APIs zur Verfügung gestallt, aus bestëmmten Aarte vun Algorithmen gezunn (dës API enthält, zum Beispill, den EVP_EncryptInit_ex, EVP_EncryptUpdate, an EVP_EncryptFinal Funktiounen). Obsolete APIe ginn an enger vun den nächste grousse Verëffentlechunge geläscht. Legacy Algorithmus Implementatiounen, sou wéi MD2 an DES, verfügbar iwwer d'EVP API, goufen op en separaten "Legacy" Modul geplënnert, deen par défaut deaktivéiert ass.

Endlech wann Dir interesséiert sidd méi doriwwer ze wëssen, Dir kënnt d'Detailer kontrolléieren An de folgende Link.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.