После трех лет разработки и 19 пробных версий недавно был анонсирован выпуск новой версии OpenSSL 3.0.0 который имеет более 7500 изменений внесено 350 разработчиками, что также представляет собой значительное изменение номера версии, связанное с переходом на традиционную нумерацию.
Отныне первая цифра (Major) в номере версии будет изменяться только при нарушении совместимости на уровне API / ABI, а вторая (Minor) - при увеличении функциональности без изменения API / ABI. Корректирующие обновления будут поставляться с изменением третьей цифры (патча). Номер 3.0.0 был выбран сразу после 1.1.1, чтобы избежать конфликтов с модулем FIPS, разрабатываемым для OpenSSL, который имел номер 2.x.
Вторым серьезным изменением проекта стал переход с двойной лицензии (OpenSSL и SSLeay) к лицензии Apache 2.0. Используемая ранее собственная лицензия OpenSSL была основана на устаревшей лицензии Apache 1.0 и требовала явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL и специального примечания, если OpenSSL поставлялся с продуктом.
Эти требования сделали предыдущую лицензию несовместимой с GPL, что затруднило использование OpenSSL в проектах под лицензией GPL. Чтобы обойти эту несовместимость, проекты GPL были вынуждены обеспечить соблюдение определенных лицензионных соглашений, в которых основной текст GPL был дополнен пунктом, явно разрешающим приложению связываться с библиотекой OpenSSL и упоминающим, что GPL не применяется к привязке к OpenSSL. .
Что нового в OpenSSL 3.0.0
Что касается части новинок, представленных в OpenSSL 3.0.0, мы можем обнаружить, что предложен новый модуль FIPS, что включает реализацию криптографических алгоритмов которые соответствуют стандарту безопасности FIPS 140-2 (процесс сертификации модулей планируется начать в этом месяце, а сертификация FIPS 140-2 ожидается в следующем году). Новый модуль намного проще в использовании, и подключение ко многим приложениям будет не сложнее, чем изменение файла конфигурации. По умолчанию FIPS отключен и требует включения параметра enable-fips.
В libcrypto реализована концепция подключенных поставщиков услуг. который заменил концепцию двигателей (ENGINE API устарел). С помощью поставщиков вы можете добавить свои собственные реализации алгоритмов для таких операций, как шифрование, дешифрование, генерация ключей, вычисление MAC, создание и проверка цифровых подписей.
Также подчеркивается, что добавлена поддержка CMPчто Его можно использовать для запроса сертификатов с сервера CA, обновления сертификатов и отзыва сертификатов. Работа с CMP осуществляется новой утилитой openssl-cmp, которая также реализует поддержку формата CRMF и передачу запросов по HTTP / HTTPS.
Также Предложен новый программный интерфейс для генерации ключей: EVP_KDF (API функции деривации ключа), который упрощает включение новых реализаций KDF и PRF. Старый API EVP_PKEY, через который были доступны алгоритмы scrypt, TLS1 PRF и HKDF, был переработан как промежуточный уровень, реализованный поверх API EVP_KDF и EVP_MAC.
А в реализации протокола TLS предлагает возможность использовать клиент и сервер TLS, встроенные в ядро Linux. для ускорения операций. Чтобы включить реализацию TLS, предоставляемую ядром Linux, необходимо включить параметр «SSL_OP_ENABLE_KTLS» или параметр «enable-ktls».
С другой стороны, упоминается, что значительная часть API перенесена в категорию устаревших- Использование устаревших вызовов в коде проекта вызовет предупреждение во время компиляции. В API низкого уровня связаны с определенными алгоритмами были официально признаны устаревшими.
Официальная поддержка в OpenSSL 3.0.0 теперь предоставляется только для API высокого уровня EVP, взятых из определенных типов алгоритмов (этот API включает, например, функции EVP_EncryptInit_ex, EVP_EncryptUpdate и EVP_EncryptFinal). Устаревшие API будут удалены в одном из следующих основных выпусков. Реализации устаревших алгоритмов, таких как MD2 и DES, доступные через EVP API, были перемещены в отдельный «устаревший» модуль, который по умолчанию отключен.
В конце концов если вам интересно узнать об этом больше, вы можете проверить детали По следующей ссылке.