Veröffentlichung der kryptografischen Bibliothek wolfSSL 5.1.0.

Die kompakte Krypto-Bibliothek wolfSSL 5.1.0 wurde veröffentlicht, optimiert für den Einsatz in ressourcenbeschränkten eingebetteten Geräten wie IoT-Geräten, Smart-Home-Systemen, Automotive-Infotainmentsystemen, Routern und Mobiltelefonen. Der Code ist in der Programmiersprache C geschrieben und steht unter der GPLv2-Lizenz.

Die Bibliothek bietet leistungsstarke Implementierungen moderner Kryptoalgorithmen, einschließlich ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 und DTLS 1.2, die laut den Entwicklern 20 Mal kompakter sind als die Implementierungen von OpenSSL. Sie bietet sowohl eine eigene vereinfachte API als auch eine Schicht zur Kompatibilität mit der OpenSSL-API. Darüber hinaus wird OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) zur Überprüfung des Status von Zertifikaten unterstützt.

Die wichtigsten Neuerungen in wolfSSL 5.1.0:

  • Unterstützung für die Plattformen: NXP SE050 (mit Unterstützung für Curve25519) und Renesas RA6M4 hinzugefügt. Für Renesas RX65N/RX72N wurde Unterstützung für TSIP 1.14 (Trusted Secure IP) implementiert.
  • Die Möglichkeit zur Nutzung post-quantum-Kryptografie-Algorithmen im Port für den Apache HTTP-Server wurde hinzugefügt. Für TLS 1.3 wurde das NIST Round 3 FALCON Signaturschema umgesetzt. Außerdem wurden Tests von cURL, das mit wolfSSL im Modus für quantenresistente Algorithmen kompiliert wurde, hinzugefügt.
  • Zur Gewährleistung der Kompatibilität mit anderen Bibliotheken und Anwendungen wurde die Unterstützung für NGINX 1.21.4 und Apache httpd 2.4.51 hinzugefügt.
  • Der Code für die Kompatibilität mit OpenSSL wurde um die Unterstützung des Flags SSL_OP_NO_TLSv1_2 und der Funktionen SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_data und SSL_write_early_data erweitert.
  • Die Möglichkeit zur Registrierung einer Callback-Funktion wurde hinzugefügt, um die integrierte Implementierung des AES-CCM-Algorithmus zu ersetzen.
  • Ein Makro WOLFSSL_CUSTOM_OID wurde hinzugefügt, um eigene OIDs für CSR (Certificate Signing Request) zu generieren.
  • Die Unterstützung für deterministische ECC-Signaturen wurde hinzugefügt, aktiviert durch das Makro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
  • Neue Funktionen wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert und wc_FreeDecodedCert wurden hinzugefügt.
  • Zwei Schwachstellen mit niedrigem Risiko wurden behoben. Die erste Schwachstelle ermöglicht einen DoS-Angriff auf die Client-Anwendung während eines MITM-Angriffs auf die TLS 1.2-Verbindung. Die zweite Schwachstelle betrifft die Möglichkeit, die Kontrolle über die Wiederherstellung der Client-Sitzung bei Verwendung eines auf wolfSSL basierenden Proxys oder von Verbindungen, die nicht die gesamte Vertrauenskette des Serverzertifikats überprüfen, zu erlangen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster