En ny udgivelse af det kompakte kryptografiske bibliotek wolfSSL 5.0.0 er tilgængelig, optimeret til brug på processor- og hukommelsesbegrænsede indlejrede enheder, såsom Internet of Things-enheder, smart home-systemer, automotive informationssystemer, routere og mobiltelefoner. Koden er skrevet på C-sprog og distribueres under GPLv2-licensen.
Biblioteket leverer højtydende implementeringer af moderne kryptografiske algoritmer, herunder ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 og DTLS 1.2, som ifølge udviklerne er 20 gange mere kompakte end implementeringer fra OpenSSL. Det giver både sin egen forenklede API og et lag til kompatibilitet med OpenSSL API. Der er understøttelse af OCSP (Online Certificate Status Protocol) og CRL (Certificate Revocation List) til kontrol af certifikattilbagekaldelser.
Vigtigste innovationer af wolfSSL 5.0.0:
- Tilføjet platformsunderstøttelse: IoT-Safe (med TLS-understøttelse), SE050 (med RNG, SHA, AES, ECC og ED25519-understøttelse) og Renesas TSIP 1.13 (til RX72N-mikrocontrollere).
- Tilføjet understøttelse af post-kvantekryptografialgoritmer, der er modstandsdygtige over for selektion på en kvantecomputer: NIST Round 3 KEM-grupper til TLS 1.3 og hybride NIST ECC-grupper baseret på OQS-projektet (Open Quantum Safe, liboqs). Grupper, der er modstandsdygtige over for udvælgelse på en kvantecomputer, er også blevet tilføjet laget for at sikre kompatibilitet. Understøttelse af NTRU- og QSH-algoritmerne er afbrudt.
- Modulet til Linux-kernen giver understøttelse af kryptografiske algoritmer, der overholder FIPS 140-3 sikkerhedsstandarden. Et særskilt produkt præsenteres med implementeringen af FIPS 140-3, hvis kode stadig er på stadiet med test, gennemgang og verifikation.
- Varianter af RSA, ECC, DH, DSA, AES/AES-GCM-algoritmerne, accelereret ved hjælp af x86 CPU-vektorinstruktioner, er blevet tilføjet til modulet til Linux-kernen. Ved hjælp af vektorinstruktioner accelereres interrupt-handlere også. Tilføjet understøttelse af et undersystem til kontrol af moduler ved hjælp af digitale signaturer. Det er muligt at bygge den indlejrede wolfCrypt kryptomotor i tilstanden "—enable-linuxkm-pie" (positionsuafhængig). Modulet understøtter Linux-kernerne 3.16, 4.4, 4.9, 5.4 og 5.10.
- For at sikre kompatibilitet med andre biblioteker og applikationer er understøttelse af libssh2, pyOpenSSL, libimobiledevice, rsyslog, OpenSSH 8.5p1 og Python 3.8.5 blevet tilføjet laget.
- Tilføjet en stor del af nye API'er, inklusive EVP_blake2, wolfSSL_set_client_CA_list, wolfSSL_EVP_sha512_256, wc_Sha512*, EVP_shake256, SSL_CIPHER_*, SSL_SESSION_* osv.
- Rettede to sårbarheder, der anses for godartede: et hænge ved oprettelse af digitale DSA-signaturer med visse parametre og forkert verifikation af certifikater med flere objekt-alternative navne ved brug af navnebegrænsninger.
Kilde: opennet.ru