Etter tre års utvikling og 19 prøveversjoner utgivelsen av den nye versjonen av OpenSSL 3.0.0 ble nylig kunngjort hvilken har mer enn 7500 endringer bidratt med 350 utviklere, og det representerer også en betydelig endring i versjonsnummeret, og det skyldes overgangen til tradisjonell nummerering.
Fra nå av vil det første sifferet (Major) i versjonsnummeret bare endres når kompatibiliteten brytes på API / ABI -nivå, og det andre (Mindre) når funksjonaliteten økes uten å endre API / ABI. Korrigerende oppdateringer sendes med et tredje siffer (oppdatering). Tallet 3.0.0 ble valgt umiddelbart etter 1.1.1 for å unngå kollisjoner med FIPS -modulen under utvikling for OpenSSL, som var nummerert 2.x.
Den andre store endringen for prosjektet var overgang fra en dobbel lisens (OpenSSL og SSLeay) til en Apache 2.0 -lisens. Den opprinnelige OpenSSL -lisensen som ble brukt tidligere, var basert på den eldre Apache 1.0 -lisensen og krevde eksplisitt omtale av OpenSSL i markedsføringsmateriell ved bruk av OpenSSL -bibliotekene, og en spesiell merknad hvis OpenSSL ble levert med produktet.
Disse kravene gjorde den forrige lisensen inkompatibel med GPL, noe som gjorde det vanskelig å bruke OpenSSL i GPL-lisensierte prosjekter. For å omgå denne inkompatibiliteten ble GPL -prosjekter tvunget til å anvende spesifikke lisensavtaler, der hovedteksten i GPL ble supplert med en klausul som eksplisitt tillot søknaden å koble til OpenSSL -biblioteket og nevne at GPL ikke gjelder binding til OpenSSL.
Hva er nytt i OpenSSL 3.0.0
For den delen av nyhetene som presenteres i OpenSSL 3.0.0 kan vi finne det en ny FIPS -modul har blitt foreslått, que inkluderer implementering av kryptografiske algoritmer som oppfyller FIPS 140-2-sikkerhetsstandarden (modulens sertifiseringsprosess er planlagt å begynne denne måneden, og FIPS 140-2-sertifisering forventes neste år). Den nye modulen er mye lettere å bruke, og tilkobling til mange applikasjoner vil ikke være vanskeligere enn å endre konfigurasjonsfilen. Som standard er FIPS deaktivert og alternativet enable-fips må være aktivert.
I libcrypto ble konseptet om tilkoblede tjenesteleverandører implementert som erstattet konseptet med motorer (ENGINE API ble utfaset). Ved hjelp av leverandører kan du legge til dine egne algoritmeimplementeringer for operasjoner som kryptering, dekryptering, nøkkelgenerering, MAC -beregning, opprettelse og verifisering av digitale signaturer.
Det fremheves også at lagt til støtte for CMPAt Den kan brukes til å be om sertifikater fra CA -serveren, fornye sertifikater og tilbakekalle sertifikater. Arbeid med CMP utføres av det nye verktøyet openssl-cmp, som også implementerer støtte for CRMF-formatet og overføring av forespørsler over HTTP / HTTPS.
Også Et nytt programmeringsgrensesnitt for nøkkelgenerering er blitt foreslått: EVP_KDF (Key Derivation Function API), som forenkler innlemmelsen av nye KDF- og PRF -implementeringer. Det gamle EVP_PKEY API, der krypteringsalgoritmene, TLS1 PRF og HKDF var tilgjengelige, har blitt redesignet som et mellomlag implementert på toppen av EVP_KDF og EVP_MAC API.
Og i implementeringen av protokollen TLS tilbyr muligheten til å bruke TLS -klienten og serveren som er innebygd i Linux -kjernen for å få fart på operasjonene. For å aktivere TLS-implementeringen fra Linux-kjernen må alternativet "SSL_OP_ENABLE_KTLS" eller innstillingen "enable-ktls" være aktivert.
På den annen side nevnes det en betydelig del av API -et har blitt flyttet til kategorien som er utdatert- Bruk av utdaterte anrop i prosjektkode vil generere en advarsel under kompilering. De Lavt nivå API knyttet til visse algoritmer offisielt blitt erklært foreldet.
Offisiell støtte i OpenSSL 3.0.0 tilbys nå bare for EVP APIer på høyt nivå, hentet fra visse typer algoritmer (dette API inkluderer for eksempel EVP_EncryptInit_ex, EVP_EncryptUpdate og EVP_EncryptFinal-funksjonene). Utdaterte API -er vil bli fjernet i en av de neste store utgivelsene. Eldre algoritmeimplementeringer, for eksempel MD2 og DES, tilgjengelig via EVP API, har blitt flyttet til en egen "eldre" modul, som er deaktivert som standard.
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.