Preparouse o lanzamento da biblioteca criptográfica compacta wolfSSL 5.1.0, optimizada para o seu uso en dispositivos integrados con procesadores e recursos de memoria limitados, como dispositivos de Internet das cousas, sistemas domésticos intelixentes, sistemas de información de automoción, enrutadores e teléfonos móbiles. O código está escrito en linguaxe C e distribúese baixo a licenza GPLv2.
A biblioteca ofrece implementacións de alto rendemento de algoritmos criptográficos modernos, incluíndo ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 e DTLS 1.2, que segundo os desenvolvedores son 20 veces máis compactos que as implementacións de OpenSSL. Ofrece tanto a súa propia API simplificada como unha capa de compatibilidade coa API de OpenSSL. Hai soporte para OCSP (Online Certificate Status Protocol) e CRL (Certificate Revocation List) para comprobar as revogacións de certificados.
Principais innovacións de wolfSSL 5.1.0:
- Soporte de plataforma engadido: NXP SE050 (con soporte Curve25519) e Renesas RA6M4. Para Renesas RX65N/RX72N, engadiuse soporte para TSIP 1.14 (IP segura de confianza).
- Engadiuse a posibilidade de usar algoritmos de criptografía post-cuántica no porto para o servidor http Apache. Para TLS 1.3, implementouse o esquema de sinatura dixital FALCON da rolda 3 do NIST. Engadíronse probas de cURL compiladas a partir de wolfSSL no modo de usar cripto-algoritmos, resistentes á selección nun ordenador cuántico.
- Para garantir a compatibilidade con outras bibliotecas e aplicacións, engadiuse á capa soporte para NGINX 1.21.4 e Apache httpd 2.4.51.
- Para compatibilidade con OpenSSL, admite a marca SSL_OP_NO_TLSv1_2 e as funcións SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_get_max_early_data, SSL_CTX_dSL_CON_mode_type, SSL_CTX_dSL_con_mode_cm os datos SSL_write_ engadíronse ao código early_data.
- Engadiuse a posibilidade de rexistrar unha función de devolución de chamada para substituír a implementación integrada do algoritmo AES-CCM.
- Engadiuse a macro WOLFSSL_CUSTOM_OID para xerar OID personalizados para CSR (solicitude de sinatura de certificados).
- Engadiuse compatibilidade para sinaturas ECC deterministas, habilitadas pola macro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Engadíronse novas funcións wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert e wc_FreeDecodedCert.
- Resolvéronse dúas vulnerabilidades clasificadas como de baixa gravidade. A primeira vulnerabilidade permite un ataque DoS nunha aplicación cliente durante un ataque MITM nunha conexión TLS 1.2. A segunda vulnerabilidade refírese á posibilidade de obter o control sobre a continuación dunha sesión de cliente cando se utiliza un proxy baseado en wolfSSL ou conexións que non verifican toda a cadea de confianza no certificado do servidor.
Fonte: opennet.ru