Die vrystelling van die kompakte kriptografiese biblioteek wolfSSL 5.1.0, geoptimaliseer vir gebruik op ingebedde toestelle met beperkte verwerker- en geheuebronne, soos Internet of Things-toestelle, slimhuisstelsels, motorinligtingstelsels, roeteerders en selfone, is voorberei. Die kode is in C-taal geskryf en onder die GPLv2-lisensie versprei.
Die biblioteek verskaf hoëprestasie-implementerings van moderne kriptografiese algoritmes, insluitend ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 en DTLS 1.2, wat, volgens die ontwikkelaars, 20 keer meer kompak as OpenSSL-implementerings is. Dit bied beide sy eie vereenvoudigde API en 'n laag vir verenigbaarheid met die OpenSSL API. Daar is ondersteuning vir OCSP (Online Certificate Status Protocol) en CRL (Certificate Revocation List) vir sertifikaatherroepingskontrole.
Sleutelinnovasies in wolfSSL 5.1.0:
- Bygevoeg platform ondersteuning: NXP SE050 (met ondersteuning vir Curve25519) en Renesas RA6M4. Vir Renesas RX65N/RX72N is ondersteuning vir TSIP 1.14 (Trusted Secure IP) bygevoeg.
- Bygevoeg die vermoë om post-kwantum kriptografie algoritmes te gebruik in die poort vir die Apache http bediener. Vir TLS 1.3 is die NIST ronde 3 FALCON digitale handtekeningskema geïmplementeer. Bygevoeg toetse van cURL saamgestel uit wolfSSL in die modus van die gebruik van kripto-algoritmes, bestand teen seleksie op 'n kwantumrekenaar.
- Om verenigbaarheid met ander biblioteke en toepassings te verseker, is ondersteuning vir NGINX 1.21.4 en Apache httpd 2.4.51 by die laag gevoeg.
- Bygevoeg ondersteuning vir die SSL_OP_NO_TLSv1_2-vlag en die funksies SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_value_early_mode, SSL_valuear _ear na die kode vir OpenSSL-versoenbaarheid ly_data.
- Bygevoeg die vermoë om 'n terugbelfunksie te registreer om die ingeboude implementering van die AES-CCM-algoritme te vervang.
- Makro WOLFSSL_CUSTOM_OID bygevoeg om pasgemaakte OID's vir CSR (sertifikaatondertekeningversoek) te genereer.
- Bygevoeg ondersteuning vir deterministiese ECC handtekeninge, geaktiveer deur die FSSL_ECDSA_DETERMINISTIC_K_VARIANT makro.
- Bygevoeg nuwe funksies wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert en wc_FreeDecodedCert.
- Twee kwesbaarhede wat as 'n lae erns beskou word, is opgelos. Die eerste kwesbaarheid laat 'n DoS-aanval op 'n kliënttoepassing toe tydens 'n MITM-aanval op 'n TLS 1.2-verbinding. Die tweede kwesbaarheid hou verband met die moontlikheid om beheer te verkry oor die hervatting van 'n kliëntsessie wanneer 'n wolfSSL-gebaseerde instaanbediener of verbindings gebruik word wat nie die hele vertrouesketting in die bedienersertifikaat nagaan nie.
Bron: opennet.ru