Die Veröffentlichung der kompakten kryptografischen Bibliothek wolfSSL 5.1.0, optimiert für den Einsatz auf eingebetteten Geräten mit begrenzten Prozessor- und Speicherressourcen, wie z. B. Internet-of-Things-Geräten, Smart-Home-Systemen, Automobil-Informationssystemen, Routern und Mobiltelefonen, wurde vorbereitet. Der Code ist in der Sprache C geschrieben und wird unter der GPLv2-Lizenz vertrieben.
Die Bibliothek bietet leistungsstarke Implementierungen moderner kryptografischer Algorithmen, darunter ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 und DTLS 1.2, die nach Angaben der Entwickler 20-mal kompakter sind als OpenSSL-Implementierungen. Es bietet sowohl eine eigene vereinfachte API als auch eine Ebene zur Kompatibilität mit der OpenSSL-API. Es gibt Unterstützung für OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) für die Zertifikatssperrprüfung.
Wichtige Neuerungen in wolfSSL 5.1.0:
- Plattformunterstützung hinzugefügt: NXP SE050 (mit Curve25519-Unterstützung) und Renesas RA6M4. Für Renesas RX65N/RX72N wurde Unterstützung für TSIP 1.14 (Trusted Secure IP) hinzugefügt.
- Es wurde die Möglichkeit hinzugefügt, Post-Quantum-Kryptographie-Algorithmen im Port für den Apache-HTTP-Server zu verwenden. Für TLS 1.3 wurde das digitale Signaturschema FALCON der dritten Runde des NIST implementiert. Tests von cURL hinzugefügt, die aus wolfSSL im Modus der Verwendung von Kryptoalgorithmen kompiliert wurden und der Auswahl auf einem Quantencomputer standhalten.
- Um die Kompatibilität mit anderen Bibliotheken und Anwendungen sicherzustellen, wurde der Ebene Unterstützung für NGINX 1.21.4 und Apache httpd 2.4.51 hinzugefügt.
- Aus Gründen der Kompatibilität mit OpenSSL wurde dem Code Early_data Unterstützung für das Flag SSL_OP_NO_TLSv1_2 und die Funktionen SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_data SSL_write_ hinzugefügt.
- Es wurde die Möglichkeit hinzugefügt, eine Rückruffunktion zu registrieren, um die integrierte Implementierung des AES-CCM-Algorithmus zu ersetzen.
- Makro WOLFSSL_CUSTOM_OID hinzugefügt, um benutzerdefinierte OIDs für CSR (Zertifikatsignierungsanforderung) zu generieren.
- Unterstützung für deterministische ECC-Signaturen hinzugefügt, aktiviert durch das Makro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Neue Funktionen wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert und wc_FreeDecodedCert hinzugefügt.
- Zwei als gering eingestufte Schwachstellen wurden behoben. Die erste Schwachstelle ermöglicht einen DoS-Angriff auf eine Clientanwendung während eines MITM-Angriffs auf eine TLS 1.2-Verbindung. Die zweite Schwachstelle betrifft die Möglichkeit, die Kontrolle über die Wiederaufnahme einer Client-Sitzung zu erlangen, wenn ein wolfSSL-basierter Proxy oder Verbindungen verwendet werden, die nicht die gesamte Vertrauenskette im Serverzertifikat überprüfen.
Source: opennet.ru