Na drie jaar ontwikkeling en 19 proefversies de release van de nieuwe versie van OpenSSL 3.0.0 is onlangs aangekondigd welke heeft meer dan 7500 wijzigingen bijgedragen door 350 ontwikkelaars en dat betekent ook een flinke verandering in het versienummer en dat komt door de overgang naar traditionele nummering.
Vanaf nu verandert het eerste cijfer (Major) in het versienummer alleen wanneer compatibiliteit wordt geschonden op API / ABI-niveau, en het tweede (Minor) wanneer functionaliteit wordt verhoogd zonder de API / ABI te wijzigen. Correctieve updates worden verzonden met een derde cijfer (patch) wijziging. Het nummer 3.0.0 werd onmiddellijk na 1.1.1 gekozen om botsingen te voorkomen met de FIPS-module die in ontwikkeling was voor OpenSSL, die het nummer 2.x kreeg.
De tweede grote verandering voor het project was de overgang van een dubbele licentie (OpenSSL en SSLeay) naar een Apache 2.0-licentie. De oorspronkelijke OpenSSL-licentie die eerder werd gebruikt, was gebaseerd op de oude Apache 1.0-licentie en vereiste expliciete vermelding van OpenSSL in promotiemateriaal bij het gebruik van de OpenSSL-bibliotheken, en een speciale opmerking als OpenSSL bij het product werd geleverd.
Deze vereisten maakten de vorige licentie onverenigbaar met de GPL, waardoor het moeilijk was om OpenSSL te gebruiken in projecten met een GPL-licentie. Om deze onverenigbaarheid te omzeilen, werden GPL-projecten gedwongen om specifieke licentieovereenkomsten toe te passen, waarin de hoofdtekst van de GPL werd aangevuld met een clausule die expliciet toestond dat de applicatie naar de OpenSSL-bibliotheek linkt en waarin werd vermeld dat de GPL niet van toepassing is op het binden aan SSL openen.
Wat is er nieuw in OpenSSL 3.0.0
Voor het deel van de nieuwigheden die worden gepresenteerd in OpenSSL 3.0.0 kunnen we vinden dat: een nieuwe FIPS-module is voorgesteld, dat omvat de implementatie van cryptografische algoritmen die voldoen aan de FIPS 140-2-beveiligingsnorm (het is de bedoeling dat het modulecertificeringsproces deze maand begint, en de FIPS 140-2-certificering wordt volgend jaar verwacht). De nieuwe module is veel gemakkelijker te gebruiken en verbinding maken met veel applicaties zal niet moeilijker zijn dan het wijzigen van het configuratiebestand. FIPS is standaard uitgeschakeld en vereist dat de optie enable-fips is ingeschakeld.
In libcrypto is het concept van verbonden serviceproviders geïmplementeerd die het concept van motoren verving (de ENGINE API was verouderd). Met de hulp van leveranciers kunt u uw eigen algoritme-implementaties toevoegen voor bewerkingen zoals codering, decodering, sleutelgeneratie, MAC-berekening, creatie en verificatie van digitale handtekeningen.
Er wordt ook benadrukt dat toegevoegde ondersteuning voor CMPDat Het kan worden gebruikt om certificaten aan te vragen bij de CA-server, certificaten te vernieuwen en certificaten in te trekken. Werken met CMP wordt gedaan door het nieuwe hulpprogramma openssl-cmp, dat ook ondersteuning biedt voor het CRMF-formaat en de verzending van verzoeken via HTTP / HTTPS.
Ook Er is een nieuwe programmeerinterface voor het genereren van sleutels voorgesteld: EVP_KDF (Key Derivation Function API), die de integratie van nieuwe KDF- en PRF-implementaties vereenvoudigt. De oude EVP_PKEY API, waarmee de scrypt-algoritmen, TLS1 PRF en HKDF beschikbaar waren, is opnieuw ontworpen als een tussenlaag die is geïmplementeerd bovenop de EVP_KDF en EVP_MAC API's.
En bij de uitvoering van het protocol TLS biedt de mogelijkheid om de TLS-client en -server te gebruiken die in de Linux-kernel zijn ingebouwd operaties te versnellen. Om de TLS-implementatie van de Linux-kernel in te schakelen, moet de optie "SSL_OP_ENABLE_KTLS" of de instelling "enable-ktls" zijn ingeschakeld.
Aan de andere kant wordt dat vermeld een aanzienlijk deel van de API is verplaatst naar de verouderde categorie- Het gebruik van verouderde aanroepen in projectcode genereert een waarschuwing tijdens het compileren. De API op laag niveau gekoppeld aan bepaalde algoritmen officieel achterhaald zijn verklaard.
Officiële ondersteuning in OpenSSL 3.0.0 wordt nu alleen geboden voor EVP API's op hoog niveau, afkomstig van bepaalde typen algoritmen (deze API omvat bijvoorbeeld de functies EVP_EncryptInit_ex, EVP_EncryptUpdate en EVP_EncryptFinal). Verouderde API's worden verwijderd in een van de volgende grote releases. Legacy-algoritme-implementaties, zoals MD2 en DES, die beschikbaar zijn via de EVP API, zijn verplaatst naar een aparte "legacy"-module, die standaard is uitgeschakeld.
Eindelijk als u er meer over wilt weten, u kunt de details controleren In de volgende link.