La liberigo de la kompakta kriptografa biblioteko wolfSSL 5.1.0, optimumigita por uzo sur enigitaj aparatoj kun limigitaj procesoroj kaj memoraj rimedoj, kiel Interreto de Aĵoj, inteligentaj hejmaj sistemoj, aŭtomobilaj informsistemoj, enkursigiloj kaj poŝtelefonoj, estis preta. La kodo estas skribita en C-lingvo kaj distribuita sub la permesilo GPLv2.
La biblioteko disponigas alt-efikecajn efektivigojn de modernaj kriptografiaj algoritmoj, inkluzive de ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 kaj DTLS 1.2, kiuj laŭ la programistoj estas 20 fojojn pli kompaktaj ol efektivigoj de OpenSSL. Ĝi disponigas kaj sian propran simpligitan API kaj tavolon por kongruo kun la OpenSSL API. Estas subteno por OCSP (Reta Certificate Status Protocol) kaj CRL (Certificate Revocation List) por kontroli atestilrevokojn.
Ĉefaj novigoj de wolfSSL 5.1.0:
- Aldonita platforma subteno: NXP SE050 (kun Curve25519-subteno) kaj Renesas RA6M4. Por Renesas RX65N/RX72N, subteno por TSIP 1.14 (Fida Sekura IP) estis aldonita.
- Aldonis la kapablon uzi post-kvantumajn kriptografiajn algoritmojn en la haveno por la Apache http-servilo. Por TLS 1.3, la NIST-ronda 3 FALCON-cifereca subskriba skemo estis efektivigita. Aldonitaj testoj de cURL kompilitaj de wolfSSL en la maniero de uzado de kripto-algoritmoj, imunaj al elekto sur kvantuma komputilo.
- Por certigi kongruon kun aliaj bibliotekoj kaj aplikoj, subteno por NGINX 1.21.4 kaj Apache httpd 2.4.51 estis aldonita al la tavolo.
- Aldonita subteno por la flago SSL_OP_NO_TLSv1_2 kaj la funkcioj SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_valu_read_type, SSL_valu_read_cmd skribu al la kodo por OpenSSL-kongrueco _fruaj_datumoj.
- Aldonis la kapablon registri revokfunkcion por anstataŭigi la enkonstruitan efektivigon de la AES-CCM-algoritmo.
- Aldonita makroo WOLFSSL_CUSTOM_OID por generi kutimajn OIDojn por CSR (peto de subskribo de atestilo).
- Aldonita subteno por determinismaj ECC-signaturoj, ebligitaj de la makroo FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Aldonitaj novaj funkcioj wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert kaj wc_FreeDecodedCert.
- Du vundeblecoj taksitaj kiel malalta severeco estis solvitaj. La unua vundebleco permesas DoS-atakon sur klienta aplikaĵo dum MITM-atako sur TLS 1.2-konekto. La dua vundebleco rilatas al la ebleco akiri kontrolon pri la rekomenco de kliento-sesio kiam vi uzas wolfSSL-bazitan prokurilon aŭ konektojn kiuj ne kontrolas la tutan ĉenon de fido en la servila atestilo.
fonto: opennet.ru