OpenSSL 3.0.0 ক্রিপ্টোগ্রাফিক লাইব্রেরি রিলিজ

তিন বছরের বিকাশ এবং 19 টি পরীক্ষা প্রকাশের পর, SSL/TLS প্রোটোকল এবং বিভিন্ন এনক্রিপশন অ্যালগরিদম বাস্তবায়নের সাথে OpenSSL 3.0.0 লাইব্রেরি প্রকাশ করা হয়েছিল। নতুন শাখায় এমন পরিবর্তনগুলি অন্তর্ভুক্ত রয়েছে যা API এবং ABI স্তরে পিছনের সামঞ্জস্যকে ভেঙে দেয়, তবে পরিবর্তনগুলি বেশিরভাগ অ্যাপ্লিকেশনের অপারেশনকে প্রভাবিত করবে না যেগুলি OpenSSL 1.1.1 থেকে স্থানান্তরিত করার জন্য পুনর্নির্মাণের প্রয়োজন হয়৷ OpenSSL 1.1.1 এর আগের শাখাটি সেপ্টেম্বর 2023 পর্যন্ত সমর্থিত হবে।

প্রথাগত "Major.Minor.Patch" সংখ্যায় রূপান্তরের কারণে সংস্করণ নম্বরে একটি উল্লেখযোগ্য পরিবর্তন হয়েছে৷ এখন থেকে, সংস্করণ নম্বরের প্রথম সংখ্যা (মেজর) পরিবর্তন হবে শুধুমাত্র যদি API/ABI স্তরে সামঞ্জস্যতা ভাঙা হয়, এবং দ্বিতীয়টি (মাইনর) পরিবর্তন হবে যখন API/ABI পরিবর্তন না করে কার্যকারিতা বাড়ানো হয়। সংশোধনমূলক আপডেটগুলি তৃতীয় সংখ্যায় (প্যাচ) পরিবর্তনের সাথে বিতরণ করা হবে। 3.0.0 এর পরপরই 1.1.1 নম্বরটি OpenSSL-এর জন্য বর্তমানে উন্নয়নাধীন FIPS মডিউলের সাথে ওভারল্যাপ এড়াতে বেছে নেওয়া হয়েছিল, যার জন্য 2.x নম্বর ব্যবহার করা হয়েছিল।

প্রকল্পের জন্য দ্বিতীয় গুরুত্বপূর্ণ পরিবর্তনটি ছিল দ্বৈত লাইসেন্স (ওপেনএসএসএল এবং এসএসএলে) থেকে অ্যাপাচি 2.0 লাইসেন্সে রূপান্তর। পূর্ববর্তী মালিকানাধীন OpenSSL লাইসেন্সটি লিগ্যাসি Apache 1.0 লাইসেন্সের পাঠ্যের উপর ভিত্তি করে এবং OpenSSL লাইব্রেরি ব্যবহার করার সময় বিপণন সামগ্রীতে OpenSSL-এর সুস্পষ্ট উল্লেখ প্রয়োজন, সেইসাথে পণ্যের অংশ হিসাবে OpenSSL প্রদান করা হলে একটি বিশেষ বিজ্ঞপ্তি। এই প্রয়োজনীয়তাগুলি পুরানো লাইসেন্সটিকে GPL-এর সাথে বেমানান করে তোলে, GPL-লাইসেন্সযুক্ত প্রকল্পগুলিতে OpenSSL ব্যবহার করা কঠিন করে তোলে। এই অসামঞ্জস্যতা খুঁজে পেতে, GPL প্রকল্পগুলিকে নির্দিষ্ট লাইসেন্স চুক্তিগুলি ব্যবহার করতে বাধ্য করা হয়েছিল যেখানে GPL-এর মূল পাঠ্যটি একটি ধারার সাথে পরিপূরক ছিল যা স্পষ্টভাবে অ্যাপ্লিকেশনটিকে OpenSSL লাইব্রেরির সাথে সংযুক্ত করার অনুমতি দেয় এবং উল্লেখ করে যে GPL এর প্রয়োজনীয়তাগুলি পূরণ করে না। OpenSSL এর সাথে লিঙ্ক করার জন্য আবেদন করুন।

OpenSSL 1.1.1 শাখার তুলনায়, OpenSSL 3.0.0 7500 ডেভেলপারদের অবদানে 350টিরও বেশি পরিবর্তন যোগ করেছে। OpenSSL 3.0.0 এর প্রধান উদ্ভাবন:

• একটি নতুন FIPS মডিউল প্রস্তাব করা হয়েছে, যার মধ্যে ক্রিপ্টোগ্রাফিক অ্যালগরিদম প্রয়োগ করা হয়েছে যা FIPS 140-2 নিরাপত্তা মান মেনে চলে (মডিউলটির সার্টিফিকেশন প্রক্রিয়া এই মাসে শুরু হওয়ার কথা, এবং FIPS 140-2 সার্টিফিকেশন আগামী বছর প্রত্যাশিত)। নতুন মডিউলটি ব্যবহার করা অনেক সহজ এবং এটিকে অনেক অ্যাপ্লিকেশনের সাথে সংযুক্ত করা কনফিগারেশন ফাইল পরিবর্তন করার চেয়ে বেশি কঠিন হবে না। ডিফল্টরূপে, FIPS মডিউল নিষ্ক্রিয় থাকে এবং সক্রিয় করার জন্য enable-fips বিকল্পের প্রয়োজন হয়।
• libcrypto প্লাগেবল প্রদানকারীর ধারণা বাস্তবায়ন করে, যা ইঞ্জিনের ধারণাকে প্রতিস্থাপন করেছে (ইঞ্জিন এপিআই অবচয় করা হয়েছে)। প্রদানকারীদের সাহায্যে, আপনি এনক্রিপশন, ডিক্রিপশন, কী জেনারেশন, MAC গণনা, ডিজিটাল স্বাক্ষর তৈরি এবং যাচাইকরণের মতো ক্রিয়াকলাপের জন্য অ্যালগরিদমের নিজস্ব বাস্তবায়ন যোগ করতে পারেন। নতুনগুলিকে সংযুক্ত করা এবং ইতিমধ্যে সমর্থিত অ্যালগরিদমের বিকল্প বাস্তবায়ন তৈরি করা উভয়ই সম্ভব (ডিফল্টরূপে, ওপেনএসএসএল-এ নির্মিত প্রদানকারী এখন প্রতিটি অ্যালগরিদমের জন্য ব্যবহৃত হয়)।
• সার্টিফিকেট ম্যানেজমেন্ট প্রোটোকল (RFC 4210) এর জন্য সমর্থন যোগ করা হয়েছে, যা একটি CA সার্ভার থেকে সার্টিফিকেট অনুরোধ করতে, সার্টিফিকেট আপডেট করতে এবং সার্টিফিকেট প্রত্যাহার করতে ব্যবহার করা যেতে পারে। CMP এর সাথে কাজ করা নতুন openssl-cmp ইউটিলিটি ব্যবহার করে করা হয়, যা CRMF ফরম্যাট (RFC 4211) সমর্থন করে এবং HTTP/HTTPS (RFC 6712) এর মাধ্যমে অনুরোধ পাঠায়।
• HTTP এবং HTTPS প্রোটোকলের জন্য একটি সম্পূর্ণ ক্লায়েন্ট বাস্তবায়িত হয়েছে, GET এবং POST পদ্ধতিগুলিকে সমর্থন করে, পুনঃনির্দেশের অনুরোধ, একটি প্রক্সি, ASN.1 এনকোডিং এবং টাইমআউট প্রক্রিয়াকরণের মাধ্যমে কাজ করে।
• একটি নতুন EVP_MAC (মেসেজ প্রমাণীকরণ কোড API) যোগ করা হয়েছে যাতে মক ইনসার্টের নতুন বাস্তবায়ন যোগ করা সহজ হয়।
• কী তৈরি করার জন্য একটি নতুন সফ্টওয়্যার ইন্টারফেস প্রস্তাব করা হয়েছে - EVP_KDF (কী ডেরিভেশন ফাংশন API), যা KDF এবং PRF-এর নতুন বাস্তবায়নের যোগকে সহজ করে। পুরানো EVP_PKEY API, যার মাধ্যমে স্ক্রিপ্ট, TLS1 PRF এবং HKDF অ্যালগরিদমগুলি উপলব্ধ ছিল, EVP_KDF এবং EVP_MAC APIগুলির উপরে প্রয়োগ করা একটি স্তরের আকারে পুনরায় ডিজাইন করা হয়েছে৷
• TLS প্রোটোকলের বাস্তবায়ন কাজগুলি গতি বাড়ানোর জন্য লিনাক্স কার্নেলে নির্মিত TLS ক্লায়েন্ট এবং সার্ভার ব্যবহার করার ক্ষমতা প্রদান করে। Linux কার্নেল দ্বারা প্রদত্ত TLS বাস্তবায়ন সক্ষম করতে, আপনাকে অবশ্যই "SSL_OP_ENABLE_KTLS" বিকল্প বা "enable-ktls" সেটিং সক্রিয় করতে হবে।
• নতুন অ্যালগরিদমের জন্য সমর্থন যোগ করা হয়েছে:
  • কী জেনারেশন অ্যালগরিদম (KDF) হল "একক ধাপ" এবং "SSH"।
  • সিমুলেটেড ইনসার্টেশন অ্যালগরিদম (MAC) হল "GMAC" এবং "KMAC"৷
  • RSA Key Encapsulation Algorithm (KEM) "RSASVE"।
  • এনক্রিপশন অ্যালগরিদম "AES-SIV" (RFC-8452)।
  • কী এনক্রিপ্ট করতে AES অ্যালগরিদম ব্যবহার করে বিপরীত সাইফারের সমর্থন সহ EVP API-তে কলগুলি যোগ করা হয়েছে (কী মোড়ানো): “AES-128-WRAP-INV”, “AES-192-WRAP-INV”, “AES-256-WRAP- INV” , "AES-128-WRAP-PAD-INV", "AES-192-WRAP-PAD-INV" এবং "AES-256-WRAP-PAD-INV"।
  • EVP API-তে সাইফারটেক্সট ধার নেওয়ার (CTS) অ্যালগরিদমের জন্য সমর্থন যোগ করা হয়েছে: “AES-128-CBC-CTS”, “AES-192-CBC-CTS”, “AES-256-CBC-CTS”, “CAMELLIA-128-CBC -CTS"", "CAMELLIA-192-CBC-CTS" এবং "CAMELLIA-256-CBC-CTS"।
  • CAdES-BES ডিজিটাল স্বাক্ষরের জন্য সমর্থন যোগ করা হয়েছে (RFC 5126)।
  • AES_GCM AES GCM মোড ব্যবহার করে প্রমাণীকৃত এবং এনক্রিপ্ট করা বার্তাগুলির এনক্রিপশন এবং ডিক্রিপশন সক্ষম করতে AuthEnvelopedData (RFC 5083) প্যারামিটার প্রয়োগ করে।
• PKCS7_get_octet_string এবং PKCS7_type_is_other ফাংশন পাবলিক API তে যোগ করা হয়েছে।
• PKCS#12 API PKCS12_create() ফাংশনে ব্যবহৃত ডিফল্ট অ্যালগরিদমগুলিকে PBKDF2 এবং AES দিয়ে প্রতিস্থাপন করে এবং MAC গণনা করতে SHA-256 অ্যালগরিদম ব্যবহার করে। অতীত আচরণ পুনরুদ্ধার করতে, "-উত্তরাধিকার" বিকল্প প্রদান করা হয়। PKCS12_*_ex, PKCS5_*_ex এবং PKCS8_*_ex, যেমন PKCS12_add_key_ex().PKCS12_create_ex() এবং PKCS12_decrypt_skey_ex() এ প্রচুর সংখ্যক নতুন বর্ধিত কল যোগ করা হয়েছে।
• উইন্ডোজ প্ল্যাটফর্মের জন্য, SRWLock পদ্ধতি ব্যবহার করে থ্রেড সিঙ্ক্রোনাইজেশনের জন্য সমর্থন যোগ করা হয়েছে।
• একটি নতুন ট্রেসিং API যোগ করা হয়েছে, সক্রিয়-ট্রেস প্যারামিটারের মাধ্যমে সক্ষম করা হয়েছে।
• EVP_PKEY_public_check() এবং EVP_PKEY_param_check() ফাংশনে সমর্থিত কীগুলির পরিসর প্রসারিত করা হয়েছে: RSA, DSA, ED25519, X25519, ED448 এবং X448৷
• RAND_DRBG সাবসিস্টেম সরানো হয়েছে, EVP_RAND API দ্বারা প্রতিস্থাপিত হয়েছে। FIPS_mode() এবং FIPS_mode_set() ফাংশন মুছে ফেলা হয়েছে।
• API এর একটি উল্লেখযোগ্য অংশ অপ্রচলিত রেন্ডার করা হয়েছে - প্রজেক্ট কোডে অপ্রচলিত কল ব্যবহার করার ফলে সংকলনের সময় সতর্কতা দেখাবে। অ্যালগরিদমের নির্দিষ্ট বাস্তবায়নের সাথে আবদ্ধ নিম্ন-স্তরের API সহ (উদাহরণস্বরূপ, AES_set_encrypt_key এবং AES_encrypt) আনুষ্ঠানিকভাবে অপ্রচলিত ঘোষণা করা হয়েছে। OpenSSL 3.0.0-এ অফিসিয়াল সমর্থন এখন শুধুমাত্র উচ্চ-স্তরের EVP API-এর জন্য প্রদান করা হয় যেগুলি পৃথক অ্যালগরিদম প্রকারগুলি থেকে বিমূর্ত করা হয় (এই API-এর মধ্যে রয়েছে, উদাহরণস্বরূপ, EVP_EncryptInit_ex, EVP_EncryptUpdate, এবং EVP_EncryptFinal ফাংশন)। পরবর্তী বড় রিলিজগুলির একটিতে অপসারিত APIগুলি সরানো হবে৷ EVP API-এর মাধ্যমে উপলব্ধ MD2 এবং DES-এর মতো লিগ্যাসি অ্যালগরিদমগুলির প্রয়োগগুলিকে একটি পৃথক "লেগেসি" মডিউলে স্থানান্তরিত করা হয়েছে, যা ডিফল্টরূপে নিষ্ক্রিয় থাকে৷
• ডকুমেন্টেশন এবং পরীক্ষা স্যুট উল্লেখযোগ্যভাবে প্রসারিত করা হয়েছে. শাখা 1.1.1 এর তুলনায়, ডকুমেন্টেশনের পরিমাণ 94% বৃদ্ধি পেয়েছে এবং টেস্ট স্যুট কোডের আকার 54% বৃদ্ধি পেয়েছে।

উত্স: opennet.ru