OpenSSL 3.0.0 нь олон томоохон өөрчлөлт, сайжруулалттай ирдэг

Гурван жилийн турш хөгжүүлсний дараа 19 туршилтын хувилбар OpenSSL 3.0.0 -ийн шинэ хувилбар гарсныг саяхан зарлав аль нь 7500 гаруй өөрчлөлт орсон байна 350 хөгжүүлэгчид хувь нэмэр оруулсан бөгөөд энэ нь хувилбарын дугаар дахь мэдэгдэхүйц өөрчлөлтийг илэрхийлж байгаа бөгөөд энэ нь уламжлалт дугаарлалт руу шилжсэнтэй холбоотой юм.

Одооноос эхлэн API / ABI түвшинд нийцтэй байдлыг зөрчсөн тохиолдолд хувилбарын дугаарын эхний цифр (Major) өөрчлөгдөх бөгөөд API / ABI -ийг өөрчлөхгүйгээр функцийг нэмэгдүүлэх үед хоёр дахь нь (Бага) өөрчлөгдөх болно. Залруулгын шинэчлэлтүүд гурав дахь оронтой (нөхөөс) өөрчлөгддөг. 3.0.0x дугаарыг 1.1.1 гэсэн дугаартай OpenSSL -ийн хөгжүүлж буй FIPS модультай мөргөлдөхгүйн тулд 2 -ийн дараа шууд сонгосон.

Төслийн хоёр дахь томоохон өөрчлөлт бол давхар лицензээс шилжих (OpenSSL ба SSLeay) Apache 2.0 лиценз авах. Өмнө нь ашиглагдаж байсан OpenSSL лиценз нь хуучин Apache 1.0 лиценз дээр үндэслэсэн бөгөөд OpenSSL номын санг ашиглахдаа сурталчилгааны материалд OpenSSL -ийн талаар тодорхой дурдах шаардлагатай бөгөөд хэрэв OpenSSL -ийг бүтээгдэхүүнтэй хамт нийлүүлсэн бол тусгай тэмдэглэл шаардлагатай болно.

Эдгээр шаардлагууд нь өмнөх лицензийг GPL-тэй нийцэхгүй болгож, GPL лицензтэй төслүүдэд OpenSSL-ийг ашиглахад хүндрэл учруулсан. Энэхүү үл нийцэх байдлыг даван туулахын тулд GPL төслүүд нь тусгай лицензийн гэрээг хэрэгжүүлэх шаардлагатай болсон бөгөөд үүнд GPL -ийн үндсэн текстийг өргөдлийг OpenSSL номын сантай холбохыг зөвшөөрсөн заалтаар нэмж оруулсан бөгөөд GPL нь заавал дагаж мөрдөхөд хамаарахгүй болохыг дурдсан болно. OpenSSL.

OpenSSL 3.0.0 -ийн шинэ зүйлүүд

OpenSSL 3.0.0 -д танилцуулсан шинэлэг зүйлсийн хувьд бид үүнийг олж чадна шинэ FIPS модулийг санал болгов. Que криптограф алгоритмын хэрэгжилтийг багтаасан болно FIPS 140-2 аюулгүй байдлын стандартыг хангасан (модулийн гэрчилгээжүүлэх үйл явцыг энэ сард эхлүүлэхээр төлөвлөж байгаа бөгөөд FIPS 140-2 сертификатыг ирэх онд авахаар төлөвлөж байна). Шинэ модулийг ашиглах нь илүү хялбар бөгөөд олон програмд ​​холбогдох нь тохиргооны файлыг өөрчлөхөөс илүү хэцүү биш юм. Анхдагч байдлаар, FIPS нь идэвхгүй болсон бөгөөд идэвхжүүлэх-идэвхжүүлэх сонголтыг идэвхжүүлэхийг шаарддаг.

Libcrypto -д холбогдсон үйлчилгээ үзүүлэгч гэсэн ойлголтыг хэрэгжүүлсэн хөдөлгүүрийн тухай ойлголтыг орлуулсан (ENGINE API хуучирсан). Үйлдвэрлэгчдийн тусламжтайгаар та шифрлэх, шифрийг тайлах, түлхүүр үүсгэх, MAC тооцоолох, тоон гарын үсгийг үүсгэх, баталгаажуулах гэх мэт үйлдлийн алгоритмын хэрэгжилтийг нэмж болно.

Үүнийг бас онцолж байна CMP -ийн нэмэлт дэмжлэг, Que Үүнийг CA серверээс гэрчилгээ авах, гэрчилгээг шинэчлэх, гэрчилгээг хүчингүй болгоход ашиглаж болно. CMP-тэй ажиллахыг CRMF форматыг дэмжих, HTTP / HTTPS-ээр дамжуулан хүсэлтийг дамжуулах боломжийг олгодог шинэ openssl-cmp хэрэгслээр гүйцэтгэдэг.

Үүнээс гадна Түлхүүр үүсгэх шинэ програмчлалын интерфэйсийг санал болгов. EVP_KDF (Key Derivation Function API) нь KDF болон PRF -ийн шинэ хэрэгжилтийг хялбаршуулдаг. TLS1 PRF ба HKDF шифрлэх алгоритмуудыг ашиглах боломжтой хуучин EVP_PKEY API нь EVP_KDF болон EVP_MAC API -ийн дээр хэрэгжсэн завсрын давхарга болж өөрчлөгдсөн.

Мөн протоколыг хэрэгжүүлэх явцад TLS нь Linux цөмд суулгасан TLS клиент болон серверийг ашиглах боломжийг санал болгодог үйл ажиллагааг хурдасгах. Linux цөмөөс өгсөн TLS хэрэгжилтийг идэвхжүүлэхийн тулд "SSL_OP_ENABLE_KTLS" сонголт эсвэл "enable-ktls" тохиргоог идэвхжүүлэх ёстой.

Нөгөө талаар үүнийг дурдсан болно API -ийн нэлээд хэсгийг хуучирсан ангилалд шилжүүлсэн- Төслийн кодонд хуучирсан дуудлага ашиглах нь эмхэтгэх явцад анхааруулга өгөх болно. The Бага түвшний API тодорхой алгоритмуудтай холбоотой албан ёсоор хуучирсан гэж зарласан.

OpenSSL 3.0.0-ийн албан ёсны дэмжлэгийг зөвхөн тодорхой төрлийн алгоритмаас авсан дээд түвшний EVP API-д олгодог (энэ API-д жишээлбэл, EVP_EncryptInit_ex, EVP_EncryptUpdate, EVP_EncryptFinal функцууд орно). Хуучирсан API -г дараагийн томоохон хувилбаруудын нэгээр устгах болно. EVP API -ээр ашиглах боломжтой MD2 ба DES зэрэг хуучин алгоритмын хэрэгжилтийг тус тусад нь "хуучин" модульд шилжүүлсэн бөгөөд үүнийг анхдагчаар идэвхгүй болгосон байна.

Эцэст нь Хэрэв та энэ талаар илүү ихийг мэдэхийг хүсч байвал дэлгэрэнгүйг шалгаж болно Дараах холбоос дээр.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.