Está disponible una nueva versión de la biblioteca criptográfica compacta wolfSSL 5.0.0, optimizada para su uso en dispositivos integrados con procesador y memoria limitada, como dispositivos de Internet de las cosas, sistemas domésticos inteligentes, sistemas de información para automóviles, enrutadores y teléfonos móviles. El código está escrito en lenguaje C y distribuido bajo la licencia GPLv2.
La biblioteca proporciona implementaciones de alto rendimiento de algoritmos criptográficos modernos, incluidos ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 y DTLS 1.2, que según los desarrolladores son 20 veces más compactos que las implementaciones de OpenSSL. Proporciona su propia API simplificada y una capa de compatibilidad con la API OpenSSL. Hay soporte para OCSP (Protocolo de estado de certificados en línea) y CRL (Lista de revocación de certificados) para verificar las revocaciones de certificados.
Principales innovaciones de wolfSSL 5.0.0:
- Soporte de plataforma agregado: IoT-Safe (con soporte TLS), SE050 (con soporte RNG, SHA, AES, ECC y ED25519) y Renesas TSIP 1.13 (para microcontroladores RX72N).
- Se agregó soporte para algoritmos de criptografía poscuántica que son resistentes a la selección en una computadora cuántica: grupos KEM de la Ronda 3 del NIST para TLS 1.3 y grupos NIST ECC híbridos basados en el proyecto OQS (Open Quantum Safe, liboqs). También se han agregado a la capa grupos que son resistentes a la selección en una computadora cuántica para garantizar la compatibilidad. Se ha interrumpido la compatibilidad con los algoritmos NTRU y QSH.
- El módulo para el kernel de Linux brinda soporte para algoritmos criptográficos que cumplen con el estándar de seguridad FIPS 140-3. Se presenta un producto separado con la implementación de FIPS 140-3, cuyo código aún se encuentra en etapa de prueba, revisión y verificación.
- Se han agregado al módulo para el kernel de Linux variantes de los algoritmos RSA, ECC, DH, DSA, AES/AES-GCM, acelerados mediante instrucciones vectoriales de CPU x86. Al utilizar instrucciones vectoriales, los manejadores de interrupciones también se aceleran. Se agregó soporte para un subsistema para verificar módulos mediante firmas digitales. Es posible construir el motor criptográfico wolfCrypt integrado en el modo “—enable-linuxkm-pie” (independiente de la posición). El módulo proporciona soporte para los kernels de Linux 3.16, 4.4, 4.9, 5.4 y 5.10.
- Para garantizar la compatibilidad con otras bibliotecas y aplicaciones, se ha agregado a la capa compatibilidad con libssh2, pyOpenSSL, libimobiledevice, rsyslog, OpenSSH 8.5p1 y Python 3.8.5.
- Se agregó una gran parte de nuevas API, incluidas EVP_blake2, wolfSSL_set_client_CA_list, wolfSSL_EVP_sha512_256, wc_Sha512*, EVP_shake256, SSL_CIPHER_*, SSL_SESSION_*, etc.
- Se corrigieron dos vulnerabilidades que se consideran benignas: un bloqueo al crear firmas digitales DSA con ciertos parámetros y verificación incorrecta de certificados con múltiples nombres alternativos de objetos cuando se usan restricciones de nombres.
Fuente: opennet.ru