Издаване на криптографска библиотека wolfSSL 5.1.0

Беше пусната компактната криптографска библиотека wolfSSL 5.1.0, оптимизирана за използване на вградени устройства с ограничен процесор и ресурси на паметта, като IoT устройства, интелигентни домашни системи, автомобилни информационни системи, рутери и мобилни телефони. Кодът е написан на C и се разпространява под лиценз GPLv2.

Библиотеката предоставя високопроизводителни реализации на съвременни криптографски алгоритми, включително ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 и DTLS 1.2, които според разработчиците са 20 пъти по-компактни от OpenSSL реализациите. Той предоставя както собствен опростен API, така и слой за съвместимост с OpenSSL API. Има поддръжка за OCSP (Протокол за онлайн статус на сертификат) и CRL (Списък за анулиране на сертификати) за проверка на анулиране на сертификати.

Ключови иновации в wolfSSL 5.1.0:

• Добавена е поддръжка за платформи: NXP SE050 (с поддръжка на Curve25519) и Renesas RA6M4. Добавена е поддръжка за TSIP 65 (Trusted Secure IP) за Renesas RX72N/RX1.14N.
• Добавена е възможност за използване на алгоритми за постквантова криптография в порта за http сървъра Apache. За TLS 1.3 е внедрена схемата за цифров подпис NIST кръг 3 FALCON. Добавени тестове за cURL, изграден с wolfSSL в режим на приложение на крипто-алгоритъм, устойчив на селекция на квантов компютър.
• Добавена е поддръжка за NGINX 1.21.4 и Apache httpd 2.4.51, за да се осигури съвместимост с други библиотеки и приложения.
• Поддръжка на флага SSL_OP_NO_TLSv1_2 и функциите SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_ данни, SSL_write_early_data е добавен към кода за съвместимост с OpenSSL.
• Добавена е възможност за регистриране на функция за обратно извикване, която да замени вградената реализация на алгоритъма AES-CCM.
• Добавен макрос WOLFSSL_CUSTOM_OID за генериране на персонализирани OID за CSR (заявка за подписване на сертификат).
• Добавена е поддръжка за детерминирани ECC сигнатури, разрешена от макроса FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
• Добавени са нови функции wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert и wc_FreeDecodedCert.
• Две уязвимости са коригирани и им е присвоено ниско ниво на сериозност. Първата уязвимост позволява DoS атака на клиентско приложение по време на MITM атака на TLS 1.2 връзка. Втората уязвимост е свързана с възможността да се получи контрол върху възобновяването на сесията на клиента, когато се използва базиран на wolfSSL прокси или връзки, които не проверяват цялата верига на доверие спрямо сертификата на сървъра.

Източник: opennet.ru