Está dispoñible unha nova versión da biblioteca criptográfica compacta wolfSSL 5.0.0, optimizada para o seu uso en dispositivos integrados con procesador e memoria restrinxida, como dispositivos de Internet das cousas, sistemas domésticos intelixentes, sistemas de información de automóbiles, enrutadores e teléfonos móbiles. O código está escrito en linguaxe C e distribúese baixo a licenza GPLv2.
A biblioteca ofrece implementacións de alto rendemento de algoritmos criptográficos modernos, incluíndo ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 e DTLS 1.2, que segundo os desenvolvedores son 20 veces máis compactos que as implementacións de OpenSSL. Ofrece tanto a súa propia API simplificada como unha capa de compatibilidade coa API de OpenSSL. Hai soporte para OCSP (Online Certificate Status Protocol) e CRL (Certificate Revocation List) para comprobar as revogacións de certificados.
Principais innovacións de wolfSSL 5.0.0:
- Compatibilidade con plataformas engadidas: IoT-Safe (con soporte TLS), SE050 (con soporte RNG, SHA, AES, ECC e ED25519) e Renesas TSIP 1.13 (para microcontroladores RX72N).
- Engadido soporte para algoritmos de criptografía post-cuántica que son resistentes á selección nun ordenador cuántico: grupos KEM da ronda 3 do NIST para TLS 1.3 e grupos híbridos NIST ECC baseados no proxecto OQS (Open Quantum Safe, liboqs). Tamén se engadiron á capa grupos que son resistentes á selección nun ordenador cuántico para garantir a compatibilidade. O soporte para os algoritmos NTRU e QSH foi descontinuado.
- O módulo para o núcleo de Linux ofrece soporte para algoritmos criptográficos que cumpren o estándar de seguridade FIPS 140-3. Preséntase un produto separado coa implementación de FIPS 140-3, cuxo código aínda está en fase de proba, revisión e verificación.
- Variantes dos algoritmos RSA, ECC, DH, DSA, AES/AES-GCM, aceleradas mediante instrucións vectoriales de CPU x86, foron engadidas ao módulo para o núcleo de Linux. Usando instrucións vectoriais, os controladores de interrupcións tamén se aceleran. Engadido soporte para un subsistema para comprobar módulos mediante sinaturas dixitais. É posible construír o motor criptográfico wolfCrypt incorporado no modo "—enable-linuxkm-pie" (independiente da posición). O módulo ofrece soporte para os núcleos Linux 3.16, 4.4, 4.9, 5.4 e 5.10.
- Para garantir a compatibilidade con outras bibliotecas e aplicacións, engadiuse á capa soporte para libssh2, pyOpenSSL, libimobiledevice, rsyslog, OpenSSH 8.5p1 e Python 3.8.5.
- Engadiuse unha gran parte de novas API, incluíndo EVP_blake2, wolfSSL_set_client_CA_list, wolfSSL_EVP_sha512_256, wc_Sha512*, EVP_shake256, SSL_CIPHER_*, SSL_SESSION_*, etc.
- Corrixíronse dúas vulnerabilidades que se consideran benignas: un bloqueo ao crear sinaturas dixitais DSA con determinados parámetros e a verificación incorrecta de certificados con nomes alternativos de varios obxectos ao utilizar restricións de nomenclatura.
Fonte: opennet.ru