Byla vydána kompaktní kryptografická knihovna wolfSSL 5.1.0 optimalizovaná pro použití na vestavěných zařízeních s omezenými procesorovými a paměťovými zdroji, jako jsou zařízení IoT, systémy pro chytré domácnosti, automobilové informační systémy, routery a mobilní telefony. Kód je napsán v jazyce C a distribuován pod licencí GPLv2.
Knihovna poskytuje vysoce výkonné implementace moderních kryptografických algoritmů, včetně ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 a DTLS 1.2, které jsou podle vývojářů 20krát kompaktnější než implementace OpenSSL. Poskytuje jak své vlastní zjednodušené API, tak vrstvu pro kompatibilitu s OpenSSL API. K dispozici je podpora OCSP (Online Certificate Status Protocol) a CRL (Certificate Revocation List) pro kontrolu zrušení certifikátu.
Klíčové inovace ve wolfSSL 5.1.0:
- Přidána podpora pro platformy: NXP SE050 (s podporou Curve25519) a Renesas RA6M4. Pro Renesas RX65N/RX72N byla přidána podpora pro TSIP 1.14 (Trusted Secure IP).
- Přidána možnost používat postkvantové kryptografické algoritmy v portu pro http server Apache. Pro TLS 1.3 je implementováno schéma digitálního podpisu NIST round 3 FALCON. Přidány testy pro cURL vytvořené pomocí wolfSSL v aplikačním režimu krypto-algoritmu, odolné vůči selekci na kvantovém počítači.
- Přidána podpora pro NGINX 1.21.4 a Apache httpd 2.4.51 pro zajištění kompatibility s jinými knihovnami a aplikacemi.
- Podpora příznaku SSL_OP_NO_TLSv1_2 a funkcí SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_data_cmd_value, SSLear_readly_data_cmd_value ke kódu pro kompatibilitu s OpenSSL.
- Přidána možnost zaregistrovat funkci zpětného volání, která nahradí vestavěnou implementaci algoritmu AES-CCM.
- Přidáno makro WOLFSSL_CUSTOM_OID pro generování vlastních OID pro CSR (žádost o podpis certifikátu).
- Byla přidána podpora deterministických ECC signatur, povolená makrem FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Přidány nové funkce wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert a wc_FreeDecodedCert.
- Dvě zranitelnosti byly opraveny a byla jim přiřazena nízká úroveň závažnosti. První zranitelnost umožňuje útok DoS na klientskou aplikaci během útoku MITM na připojení TLS 1.2. Druhá chyba zabezpečení souvisí se schopností získat kontrolu nad obnovením klientské relace při použití proxy nebo připojení založeného na wolfSSL, která neověřují celý řetězec důvěryhodnosti vůči certifikátu serveru.
Zdroj: opennet.ru