Eine neue Version der kompakten kryptografischen Bibliothek wolfSSL 5.0.0 ist verfügbar, optimiert für die Verwendung auf eingebetteten Geräten mit begrenzten Prozessor- und Speicherressourcen, wie z. B. IoT-Geräten, Smart-Home-Systemen, Automobilinformationssystemen, Routern und Mobiltelefonen. Der Code ist in C geschrieben und wird unter der GPLv2-Lizenz vertrieben.
Die Bibliothek bietet leistungsstarke Implementierungen moderner kryptografischer Algorithmen, darunter ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 und DTLS 1.2, die nach Angaben der Entwickler 20-mal kompakter sind als OpenSSL-Implementierungen. Es bietet sowohl eine eigene vereinfachte API als auch eine Ebene zur Kompatibilität mit der OpenSSL-API. Es gibt Unterstützung für OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) für die Zertifikatssperrprüfung.
Wichtige Neuerungen in wolfSSL 5.0.0:
- Unterstützung für Plattformen hinzugefügt: IoT-Safe (mit TLS-Unterstützung), SE050 (mit RNG-, SHA-, AES-, ECC- und ED25519-Unterstützung) und Renesas TSIP 1.13 (für RX72N-Mikrocontroller).
- Unterstützung für Post-Quanten-Kryptographiealgorithmen hinzugefügt, die gegen Auswahl auf einem Quantencomputer resistent sind: NIST Round 3 KEM-Gruppen für TLS 1.3 und NIST ECC-Hybridgruppen basierend auf dem OQS-Projekt (Open Quantum Safe, liboqs). Um die Kompatibilität sicherzustellen, werden der Zwischenschicht auch Gruppen hinzugefügt, die auf einem Quantencomputer resistent gegen Selektion sind. Die Unterstützung für NTRU- und QSH-Algorithmen wurde eingestellt.
- Das Modul für den Linux-Kernel implementiert Unterstützung für kryptografische Algorithmen, die dem Sicherheitsstandard FIPS 140-3 entsprechen. Es wird ein eigenständiges FIPS 140-3-Implementierungsprodukt vorgestellt, dessen Code sich noch in der Test-, Überprüfungs- und Verifizierungsphase befindet.
- Varianten der RSA-, ECC-, DH-, DSA- und AES/AES-GCM-Algorithmen, beschleunigt mit CPU-x86-Vektoranweisungen, wurden dem Linux-Kernelmodul hinzugefügt. Mit Hilfe von Vektoranweisungen werden auch Interrupt-Handler beschleunigt. Unterstützung für ein Subsystem zur Überprüfung von Modulen durch digitale Signaturen hinzugefügt. Es besteht die Möglichkeit, die in wolfCrypt eingebettete Krypto-Engine im Modus „--enable-linuxkm-pie“ (positionsunabhängig) zu erstellen. Das Modul bietet Unterstützung für die Linux-Kernel 3.16, 4.4, 4.9, 5.4 und 5.10.
- Der Ebene wurde Unterstützung für libssh2, pyOpenSSL, libimobiledevice, rsyslog, OpenSSH 8.5p1 und Python 3.8.5 hinzugefügt, um die Kompatibilität mit anderen Bibliotheken und Anwendungen sicherzustellen.
- Viele neue APIs hinzugefügt, darunter EVP_blake2, wolfSSL_set_client_CA_list, wolfSSL_EVP_sha512_256, wc_Sha512*, EVP_shake256, SSL_CIPHER_*, SSL_SESSION_* usw.
- Es wurden zwei Schwachstellen behoben, die als ungefährlich gelten: ein Absturz beim Erstellen digitaler DSA-Signaturen mit bestimmten Parametern und eine fehlerhafte Validierung von Zertifikaten mit mehreren alternativen Objektnamen bei Verwendung namensbezogener Einschränkungen.
Source: opennet.ru