Udgivelsen af det kompakte kryptografiske bibliotek wolfSSL 5.1.0, optimeret til brug på indlejrede enheder med begrænsede processor- og hukommelsesressourcer, såsom Internet of Things-enheder, smart home-systemer, automotive informationssystemer, routere og mobiltelefoner, er blevet forberedt. Koden er skrevet på C-sprog og distribueres under GPLv2-licensen.
Biblioteket leverer højtydende implementeringer af moderne kryptografiske algoritmer, herunder ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 og DTLS 1.2, som ifølge udviklerne er 20 gange mere kompakte end implementeringer fra OpenSSL. Det giver både sin egen forenklede API og et lag til kompatibilitet med OpenSSL API. Der er understøttelse af OCSP (Online Certificate Status Protocol) og CRL (Certificate Revocation List) til kontrol af certifikattilbagekaldelser.
Vigtigste innovationer af wolfSSL 5.1.0:
- Tilføjet platformsunderstøttelse: NXP SE050 (med Curve25519-understøttelse) og Renesas RA6M4. For Renesas RX65N/RX72N er understøttelse af TSIP 1.14 (Trusted Secure IP) blevet tilføjet.
- Tilføjet muligheden for at bruge post-kvantekryptografialgoritmer i porten til Apache http-serveren. For TLS 1.3 er NIST runde 3 FALCON digital signaturordning blevet implementeret. Tilføjede test af cURL kompileret fra wolfSSL i tilstanden til at bruge krypto-algoritmer, resistente over for udvælgelse på en kvantecomputer.
- For at sikre kompatibilitet med andre biblioteker og applikationer er understøttelse af NGINX 1.21.4 og Apache httpd 2.4.51 blevet tilføjet laget.
- Tilføjet understøttelse af flaget SSL_OP_NO_TLSv1_2 og funktionerne SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_value_w rite til koden for OpenSSL-kompatibilitet _early_data.
- Tilføjet muligheden for at registrere en tilbagekaldsfunktion for at erstatte den indbyggede implementering af AES-CCM-algoritmen.
- Tilføjet makro WOLFSSL_CUSTOM_OID for at generere brugerdefinerede OID'er til CSR (anmodning om certifikatsignering).
- Tilføjet understøttelse af deterministiske ECC-signaturer, aktiveret af makroen FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Tilføjet nye funktioner wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert og wc_FreeDecodedCert.
- To sårbarheder vurderet som lav sværhedsgrad er blevet løst. Den første sårbarhed tillader et DoS-angreb på en klientapplikation under et MITM-angreb på en TLS 1.2-forbindelse. Den anden sårbarhed vedrører muligheden for at få kontrol over genoptagelsen af en klientsession ved brug af en wolfSSL-baseret proxy eller forbindelser, der ikke kontrollerer hele tillidskæden i servercertifikatet.
Kilde: opennet.ru