Se ha preparado el lanzamiento de la biblioteca criptográfica compacta wolfSSL 5.1.0, optimizada para su uso en dispositivos integrados con recursos limitados de procesador y memoria, como dispositivos de Internet de las cosas, sistemas domésticos inteligentes, sistemas de información para automóviles, enrutadores y teléfonos móviles. El código está escrito en lenguaje C y distribuido bajo la licencia GPLv2.
La biblioteca proporciona implementaciones de alto rendimiento de algoritmos criptográficos modernos, incluidos ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 y DTLS 1.2, que según los desarrolladores son 20 veces más compactos que las implementaciones de OpenSSL. Proporciona su propia API simplificada y una capa de compatibilidad con la API OpenSSL. Hay soporte para OCSP (Protocolo de estado de certificados en línea) y CRL (Lista de revocación de certificados) para verificar las revocaciones de certificados.
Principales innovaciones de wolfSSL 5.1.0:
- Soporte de plataforma agregado: NXP SE050 (con soporte Curve25519) y Renesas RA6M4. Para Renesas RX65N/RX72N, se agregó compatibilidad con TSIP 1.14 (Trusted Secure IP).
- Se agregó la capacidad de utilizar algoritmos de criptografía post-cuántica en el puerto para el servidor http Apache. Para TLS 1.3, se implementó el esquema de firma digital FALCON de la ronda 3 del NIST. Se agregaron pruebas de cURL compiladas a partir de wolfSSL en el modo de uso de algoritmos criptográficos resistentes a la selección en una computadora cuántica.
- Para garantizar la compatibilidad con otras bibliotecas y aplicaciones, se agregó a la capa compatibilidad con NGINX 1.21.4 y Apache httpd 2.4.51.
- Para compatibilidad con OpenSSL, se ha agregado compatibilidad con el indicador SSL_OP_NO_TLSv1_2 y las funciones SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_data SSL_write_ al código early_data.
- Se agregó la capacidad de registrar una función de devolución de llamada para reemplazar la implementación incorporada del algoritmo AES-CCM.
- Se agregó la macro WOLFSSL_CUSTOM_OID para generar OID personalizados para CSR (solicitud de firma de certificado).
- Se agregó soporte para firmas ECC deterministas, habilitadas por la macro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Se agregaron nuevas funciones wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert y wc_FreeDecodedCert.
- Se han resuelto dos vulnerabilidades calificadas como de gravedad baja. La primera vulnerabilidad permite un ataque DoS en una aplicación cliente durante un ataque MITM en una conexión TLS 1.2. La segunda vulnerabilidad se relaciona con la posibilidad de obtener control sobre la reanudación de una sesión de cliente cuando se utiliza un proxy basado en wolfSSL o conexiones que no verifican toda la cadena de confianza en el certificado del servidor.
Fuente: opennet.ru