Publicouse a biblioteca criptográfica compacta wolfSSL 5.1.0. Está optimizada para o seu uso en dispositivos integrados con recursos de procesador e memoria limitados, como dispositivos IoT, sistemas domésticos intelixentes, sistemas de información en vehículos, enrutadores e teléfonos móbiles. O código está escrito en C e distribúese baixo a licenza GPLv2.
A biblioteca ofrece implementacións de alto rendemento de algoritmos criptográficos modernos, incluíndo ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 e DTLS 1.2, que, segundo os desenvolvedores, son 20 veces máis compactos que as implementacións de OpenSSL. Ofrece tanto a súa propia API simplificada como unha capa para a compatibilidade coa API de OpenSSL. Admite OCSP (Protocolo de estado de certificados en liña) e CRL (Lista de revogación de certificados) para a comprobación da revogación de certificados.
Características principais de wolfSSL 5.1.0:
- Engadiuse compatibilidade coa plataforma NXP SE050 (con compatibilidade con Curve25519) e Renesas RA6M4. Engadiuse compatibilidade con TSIP 1.14 (IP segura de confianza) para Renesas RX65N/RX72N.
- Engadiuse compatibilidade con algoritmos de criptografía postcuántica no porto do servidor HTTP Apache. Implementouse o esquema de sinatura dixital FALCON da Ronda 3 do NIST para TLS 1.3. Engadíronse probas para cURL compilado con wolfSSL en modo de algoritmo criptográfico resistente aos ataques cuánticos.
- Engadiuse compatibilidade con NGINX 1.21.4 e Apache httpd 2.4.51 á capa para garantir a compatibilidade con outras bibliotecas e aplicacións.
- Para a compatibilidade con OpenSSL, o código engadiu compatibilidade coa marca SSL_OP_NO_TLSv1_2 e as funcións SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_data e SSL_write_early_data.
- Engadiuse a capacidade de rexistrar unha función de devolución de chamada para substituír a implementación integrada do algoritmo AES-CCM.
- Engadiuse a macro WOLFSSL_CUSTOM_OID para xerar OID personalizados para CSR (solicitude de sinatura de certificado).
- Engadiuse compatibilidade con sinaturas ECC deterministas, activadas pola macro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Engadíronse novas funcións wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert e wc_FreeDecodedCert.
- Corrixíronse dúas vulnerabilidades cualificadas como de baixa gravidade. A primeira vulnerabilidade permite un ataque DoS a unha aplicación cliente mediante un ataque man-in-the-middle a unha conexión TLS 1.2. A segunda vulnerabilidade permite a posibilidade de obter control sobre a continuación da sesión do cliente ao usar un proxy baseado en wolfSSL ou conexións que non verifican toda a cadea de confianza do certificado do servidor.
Fonte: opennet.ru
