ProHoster > Blag > nuacht idirlín > OpenSSL 3.0.0 Scaoileadh Leabharlainne Cripteagrafach

OpenSSL 3.0.0 Scaoileadh Leabharlainne Cripteagrafach

Tar éis trí bliana forbartha agus 19 eisiúint tástála, scaoileadh an leabharlann OpenSSL 3.0.0 le cur i bhfeidhm na bprótacal SSL/TLS agus halgartaim criptithe éagsúla. Áiríonn an brainse nua athruithe a bhriseann comhoiriúnacht siar ag leibhéal API agus ABI, ach ní dhéanfaidh na hathruithe difear d'oibriú an chuid is mó d'iarratais a dteastaíonn atógáil uathu chun aistriú ó OpenSSL 1.1.1. Tabharfar tacaíocht don bhrainse roimhe seo de OpenSSL 1.1.1 go dtí Meán Fómhair 2023.

Tháinig athrú suntasach ar uimhir an leagain de bharr an aistrithe go dtí an t-uimhriú traidisiúnta “Major.Minor.Patch”. As seo amach, ní athrófar an chéad dhigit (Mór) san uimhir leagain ach amháin má bhristear an chomhoiriúnacht ag an leibhéal API/ABI, agus athrófar an dara ceann (Mion) nuair a mhéadaítear feidhmiúlacht gan an API/ABI a athrú. Déanfar nuashonruithe ceartaitheacha a sheachadadh nuair a athrófar an tríú dhigit (Paiste). Roghnaíodh an uimhir 3.0.0 díreach i ndiaidh 1.1.1 chun forluí a sheachaint leis an modúl FIPS atá á fhorbairt faoi láthair do OpenSSL, ar úsáideadh an t-uimhriú 2.x ina leith.

Ba é an dara athrú tábhachtach don tionscadal ná an t-aistriú ó dhá cheadúnas (OpenSSL agus SSLeay) go ceadúnas Apache 2.0. Bhí an ceadúnas OpenSSL dílseánaigh roimhe seo bunaithe ar théacs an cheadúnais oidhreachta Apache 1.0 agus bhí sé riachtanach OpenSSL a lua go sainráite in ábhair mhargaíochta agus leabharlanna OpenSSL á n-úsáid, chomh maith le fógra speisialta dá gcuirfí OpenSSL ar fáil mar chuid den táirge. Mar gheall ar na ceanglais seo bhí an seancheadúnas ar neamhréir leis an GPL, rud a fhágann go raibh sé deacair OpenSSL a úsáid i dtionscadail cheadúnaithe GPL. Chun teacht timpeall ar an neamh-chomhoiriúnacht seo, cuireadh iallach ar thionscadail GPL comhaontuithe ceadúnais ar leith a úsáid inar forlíontar príomhthéacs an GPL le clásal a cheadaigh go sainráite an t-iarratas a nascadh le leabharlann OpenSSL agus a luaigh nach raibh ceanglais an GPL ag baint leo. iarratas a dhéanamh chun nascadh le OpenSSL.

I gcomparáid le brainse OpenSSL 1.1.1, chuir OpenSSL 3.0.0 níos mó ná 7500 athrú a chuir 350 forbróir leis. Príomh-nuálaíochtaí OpenSSL 3.0.0:

  • Tá modúl FIPS nua molta, lena n-áirítear cur i bhfeidhm halgartaim cripteagrafach a chomhlíonann an caighdeán slándála FIPS 140-2 (tá an próiseas deimhnithe don mhodúl sceidealta le tosú an mhí seo, agus táthar ag súil le deimhniú FIPS 140-2 an bhliain seo chugainn). Tá an modúl nua i bhfad níos éasca le húsáid agus ní bheidh sé níos deacra é a nascadh le go leor feidhmchlár ná an comhad cumraíochta a athrú. De réir réamhshocraithe, tá an modúl FIPS díchumasaithe agus teastaíonn an rogha cumasaithe fips.
  • Cuireann libcrypto coincheap na soláthraithe pluggable i bhfeidhm, a tháinig in ionad choincheap na n-inneall (tá an ENGINE API dímheasta). Le cabhair ó sholáthraithe, is féidir leat do chuid feidhmiúcháin féin halgartaim a chur leis le haghaidh oibríochtaí cosúil le criptiú, díchriptiú, giniúint eochair, ríomh MAC, cruthú agus fíorú sínithe digiteacha. Is féidir cinn nua a nascadh agus feidhmiúcháin mhalartacha d'algartaim a dtacaítear leo cheana féin a chruthú (de réir réamhshocraithe, úsáidtear an soláthraí atá ionsuite in OpenSSL do gach algartam anois).
  • Tacaíocht bhreise don Phrótacal um Bainistíocht Teastas (RFC 4210), ar féidir a úsáid chun teastais a iarraidh ó fhreastalaí CA, deimhnithe a nuashonrú, agus teastais a chúlghairm. Déantar obair le CMP ag baint úsáide as an bhfóntas nua openssl-cmp, a thacaíonn freisin leis an bhformáid CRMF (RFC 4211) agus iarratais a sheoladh trí HTTP/HTTPS (RFC 6712).
  • Tá cliant lán-chuimsitheach do na prótacail HTTP agus HTTPS curtha i bhfeidhm, ag tacú leis na modhanna GET agus POST, ag iarraidh atreorú, ag obair trí sheachvótálaí, ionchódú ASN.1 agus próiseáil am istigh.
  • Tá EVP_MAC nua (API Cód Fíordheimhnithe Teachtaireachta) curtha leis chun é a dhéanamh níos éasca feidhmithe nua d’iontáin bhréige a chur leis.
  • Tá comhéadan bogearraí nua molta chun eochracha a ghiniúint - EVP_KDF (API Feidhme Príomhdhíorthaithe), a shimplíonn cur i bhfeidhm nua KDF agus PRF. Tá an sean-EVP_PKEY API, trínar cuireadh na halgartaim scrypt, TLS1 PRF agus HKDF ar fáil, athdhearadh i bhfoirm ciseal a cuireadh i bhfeidhm ar bharr na APIanna EVP_KDF agus EVP_MAC.
  • Soláthraíonn cur i bhfeidhm an phrótacail TLS an cumas an cliant agus an freastalaí TLS a tógadh isteach san eithne Linux a úsáid chun oibríochtaí a bhrostú. Chun an cur i bhfeidhm TLS a sholáthraíonn an eithne Linux a chumasú, ní mór duit an rogha "SSL_OP_ENABLE_KTLS" nó an socrú "enable-ktls" a chumasú.
  • Tacaíocht bhreise le haghaidh algartaim nua:
    • Is iad na príomhhalgartaim giniúna (KDF) ná “CÉIM AONAIR” agus “SSH”.
    • Is iad “GMAC” agus “KMAC” na halgartaim ionsáite ionsamhailte (MAC).
    • Algartam Eochair-Iomchlúdaithe RSA (KEM) "RSASVE".
    • Algartam criptithe "AES-SIV" (RFC-8452).
    • Glaonna curtha leis an EVP API le tacaíocht do shimplí inbhéartacha ag baint úsáide as an algartam AES chun eochracha a chriptiú (Key Wrap): “AES-128-WRAP-INV”, “AES-192-WRAP-INV”, “AES-256-WRAP- INV”, “AES-128-WRAP-PAD-INV”, “AES-192-WRAP-PAD-INV” agus “AES-256-WRAP-PAD-INV”.
    • Tacaíocht bhreise le haghaidh halgartaim iasachtaíochta ciphertext (CTS) leis an EVP API: “AES-128-CBC-CTS”, “AES-192-CBC-CTS”, “AES-256-CBC-CTS”, “CAMELLIA-128-CBC -CTS", "CAMELLIA-192-CBC-CTS" agus "CAMELLIA-256-CBC-CTS".
    • Tacaíocht bhreise le haghaidh sínithe digiteacha CAdES-BES (RFC 5126).
    • Cuireann AES_GCM an paraiméadar AuthEnvelopedData (RFC 5083) i bhfeidhm chun criptiú agus díchriptiú teachtaireachtaí atá fíordheimhnithe agus criptithe ag baint úsáide as an modh AES GCM a chumasú.
  • Cuireadh na feidhmeanna PKCS7_get_octet_string agus PKCS7_type_is_other leis an API poiblí.
  • Cuireann API PKCS#12 PBKDF12 agus AES in ionad na n-algartam réamhshocraithe a úsáidtear san fheidhm PKCS2_create(), agus úsáideann sé algartam SHA-256 chun MAC a ríomh. Chun iompar san am atá caite a chur ar ais, soláthraítear an rogha "-legacy". Cuireadh líon mór glaonna sínte nua le PKCS12_*_ex, PKCS5_*_ex agus PKCS8_*_ex, mar shampla PKCS12_add_key_ex(). PKCS12_create_ex() agus PKCS12_decrypt_skey_ex().
  • Maidir le hardán Windows, cuireadh tacaíocht le haghaidh sioncrónaithe snáithe ag baint úsáide as meicníocht SRWLock.
  • Cuireadh API rianaithe nua leis, cumasaithe tríd an bparaiméadar cumasaithe.
  • Leathnaíodh raon na n-eochracha a dtacaítear leo sna feidhmeanna EVP_PKEY_public_check() agus EVP_PKEY_param_check(): RSA, DSA, ED25519, X25519, ED448 agus X448.
  • Baineadh an fochóras RAND_DRBG agus cuireadh an EVP_RAND API ina ionad. Baineadh na feidhmeanna FIPS_mód() agus FIPS_mode_set().
  • Tá cuid shuntasach den API imithe i léig - má úsáidtear glaonna as feidhm i gcód an tionscadail cuirfear rabhaidh le linn an tiomsaithe. Lena n-áirítear APIanna íseal-leibhéil atá ceangailte le feidhmiúcháin áirithe halgartaim (mar shampla, AES_set_encrypt_key agus AES_encrypt) dearbhaíodh go hoifigiúil go bhfuil siad imithe i léig. Ní chuirtear tacaíocht oifigiúil in OpenSSL 3.0.0 ar fáil anois ach amháin le haghaidh APIanna EVP ardleibhéil a asbhaintear ó chineálacha algartam aonair (áirítear leis an API seo, mar shampla, na feidhmeanna EVP_EncryptInit_ex, EVP_EncryptUpdate, agus EVP_EncryptFinal). Bainfear APInna dímheasta i gceann de na chéad eisiúintí móra eile. Aistríodh cur i bhfeidhm na n-algartam oidhreachta ar nós MD2 agus DES, atá ar fáil tríd an EVP API, go modúl “oidhreachta” ar leith, atá díchumasaithe de réir réamhshocraithe.
  • Tá an doiciméadú agus an tsraith tástála leathnaithe go suntasach. I gcomparáid le brainse 1.1.1, tá méadú 94% ar líon na ndoiciméadú, agus tá méadú 54% ar mhéid an chóid sraithe tástála.

Foinse: oscailtenet.ru

Add a comment