OpenSSL 3.0.0 ક્રિપ્ટોગ્રાફિક લાઇબ્રેરી રિલીઝ

ત્રણ વર્ષના વિકાસ અને 19 પરીક્ષણ પ્રકાશનો પછી, OpenSSL 3.0.0 લાઇબ્રેરી SSL/TLS પ્રોટોકોલ અને વિવિધ એન્ક્રિપ્શન અલ્ગોરિધમ્સના અમલીકરણ સાથે બહાર પાડવામાં આવી હતી. નવી શાખામાં એવા ફેરફારોનો સમાવેશ થાય છે જે API અને ABI સ્તરે પાછળની સુસંગતતાને તોડે છે, પરંતુ ફેરફારો મોટાભાગની એપ્લિકેશનોના સંચાલનને અસર કરશે નહીં કે જેને OpenSSL 1.1.1 માંથી સ્થાનાંતરિત કરવા માટે પુનઃનિર્માણની જરૂર છે. OpenSSL 1.1.1 ની અગાઉની શાખા સપ્ટેમ્બર 2023 સુધી આધારભૂત રહેશે.

સંસ્કરણ નંબરમાં નોંધપાત્ર ફેરફાર પરંપરાગત “Major.Minor.Patch” નંબરિંગમાં સંક્રમણને કારણે છે. હવેથી, સંસ્કરણ નંબરમાં પ્રથમ અંક (મેજર) ફક્ત ત્યારે જ બદલાશે જો API/ABI સ્તરે સુસંગતતા તૂટી ગઈ હોય, અને જ્યારે API/ABIને બદલ્યા વિના કાર્યક્ષમતા વધારવામાં આવે ત્યારે બીજો (માઈનોર) બદલાશે. સુધારાત્મક અપડેટ્સ ત્રીજા અંક (પેચ) માં ફેરફાર સાથે વિતરિત કરવામાં આવશે. 3.0.0 પછી તરત જ નંબર 1.1.1 ને OpenSSL માટે હાલમાં વિકાસ હેઠળના FIPS મોડ્યુલ સાથે ઓવરલેપ ટાળવા માટે પસંદ કરવામાં આવ્યો હતો, જેના માટે 2.x નંબરિંગનો ઉપયોગ કરવામાં આવ્યો હતો.

પ્રોજેક્ટ માટેનો બીજો મહત્વનો ફેરફાર ડ્યુઅલ લાયસન્સ (OpenSSL અને SSLeay) માંથી Apache 2.0 લાયસન્સ તરફનો સંક્રમણ હતો. અગાઉનું માલિકીનું OpenSSL લાયસન્સ લેગસી Apache 1.0 લાયસન્સનાં લખાણ પર આધારિત હતું અને OpenSSL લાઇબ્રેરીઓનો ઉપયોગ કરતી વખતે માર્કેટિંગ સામગ્રીમાં OpenSSL નો સ્પષ્ટ ઉલ્લેખ જરૂરી હતો, તેમજ જો OpenSSL ઉત્પાદનના ભાગ રૂપે પ્રદાન કરવામાં આવ્યું હોય તો એક વિશેષ સૂચના. આ જરૂરિયાતોએ જૂના લાઇસન્સને GPL સાથે અસંગત બનાવ્યું, GPL-લાઇસન્સવાળા પ્રોજેક્ટ્સમાં OpenSSL નો ઉપયોગ કરવાનું મુશ્કેલ બનાવે છે. આ અસંગતતાને દૂર કરવા માટે, GPL પ્રોજેક્ટ્સને ચોક્કસ લાયસન્સ કરારોનો ઉપયોગ કરવાની ફરજ પાડવામાં આવી હતી જેમાં GPLના મુખ્ય ટેક્સ્ટને એક કલમ સાથે પૂરક કરવામાં આવ્યું હતું જે સ્પષ્ટપણે એપ્લિકેશનને OpenSSL લાઇબ્રેરી સાથે લિંક કરવાની મંજૂરી આપે છે અને ઉલ્લેખ કરે છે કે GPL ની આવશ્યકતાઓ પૂરી કરી શકતી નથી. OpenSSL સાથે લિંક કરવા માટે અરજી કરો.

OpenSSL 1.1.1 શાખાની તુલનામાં, OpenSSL 3.0.0 એ 7500 વિકાસકર્તાઓ દ્વારા યોગદાનમાં 350 થી વધુ ફેરફારો ઉમેર્યા છે. OpenSSL 3.0.0 ની મુખ્ય નવીનતાઓ:

• FIPS 140-2 સિક્યોરિટી સ્ટાન્ડર્ડનું પાલન કરતા ક્રિપ્ટોગ્રાફિક અલ્ગોરિધમ્સના અમલીકરણ સહિત નવા FIPS મોડ્યુલની દરખાસ્ત કરવામાં આવી છે (મોડ્યુલ માટેની પ્રમાણપત્ર પ્રક્રિયા આ મહિને શરૂ થવાની છે, અને FIPS 140-2 પ્રમાણપત્ર આવતા વર્ષે અપેક્ષિત છે). નવા મોડ્યુલનો ઉપયોગ કરવો ખૂબ જ સરળ છે અને તેને ઘણી એપ્લિકેશનો સાથે કનેક્ટ કરવું રૂપરેખાંકન ફાઇલને બદલવા કરતાં વધુ મુશ્કેલ રહેશે નહીં. ડિફૉલ્ટ રૂપે, FIPS મોડ્યુલ અક્ષમ છે અને તેને સક્ષમ કરવા માટે enable-fips વિકલ્પની જરૂર છે.
• libcrypto એ પ્લગેબલ પ્રદાતાઓના ખ્યાલને અમલમાં મૂકે છે, જેણે એન્જિનના ખ્યાલને બદલ્યો છે (ENGINE API નાપસંદ કરવામાં આવ્યું છે). પ્રદાતાઓની મદદથી, તમે એન્ક્રિપ્શન, ડિક્રિપ્શન, કી જનરેશન, MAC ગણતરી, ડિજિટલ હસ્તાક્ષરોની રચના અને ચકાસણી જેવા ઑપરેશન્સ માટે ઍલ્ગોરિધમ્સના તમારા પોતાના અમલીકરણો ઉમેરી શકો છો. નવાને કનેક્ટ કરવું અને પહેલેથી જ સપોર્ટેડ એલ્ગોરિધમ્સના વૈકલ્પિક અમલીકરણો બનાવવાનું બંને શક્ય છે (ડિફૉલ્ટ રૂપે, OpenSSL માં બનેલ પ્રદાતા હવે દરેક અલ્ગોરિધમ માટે વપરાય છે).
• સર્ટિફિકેટ મેનેજમેન્ટ પ્રોટોકોલ (RFC 4210) માટે ઉમેરાયેલ સમર્થન, જેનો ઉપયોગ CA સર્વર પાસેથી પ્રમાણપત્રોની વિનંતી કરવા, પ્રમાણપત્રો અપડેટ કરવા અને પ્રમાણપત્રો રદ કરવા માટે થઈ શકે છે. CMP સાથે કામ કરવું નવી openssl-cmp યુટિલિટીનો ઉપયોગ કરીને હાથ ધરવામાં આવે છે, જે CRMF ફોર્મેટ (RFC 4211) ને પણ સપોર્ટ કરે છે અને HTTP/HTTPS (RFC 6712) દ્વારા વિનંતીઓ મોકલે છે.
• HTTP અને HTTPS પ્રોટોકોલ્સ માટે સંપૂર્ણ સુવિધાયુક્ત ક્લાયંટ લાગુ કરવામાં આવ્યું છે, જે GET અને POST પદ્ધતિઓને સમર્થન આપે છે, રીડાયરેક્ટની વિનંતી કરે છે, પ્રોક્સી દ્વારા કામ કરે છે, ASN.1 એન્કોડિંગ અને સમય સમાપ્તિ પ્રક્રિયા.
• એક નવું EVP_MAC (મેસેજ ઓથેન્ટિકેશન કોડ API) ઉમેરવામાં આવ્યું છે જેથી મોક ઇન્સર્ટના નવા અમલીકરણને ઉમેરવાનું સરળ બને.
• કી જનરેટ કરવા માટે એક નવું સોફ્ટવેર ઈન્ટરફેસ પ્રસ્તાવિત છે - EVP_KDF (કી ડેરિવેશન ફંક્શન API), જે KDF અને PRF ના નવા અમલીકરણના ઉમેરાને સરળ બનાવે છે. જૂના EVP_PKEY API, જેના દ્વારા સ્ક્રિપ્ટ, TLS1 PRF અને HKDF અલ્ગોરિધમ્સ ઉપલબ્ધ હતા, તેને EVP_KDF અને EVP_MAC API ની ટોચ પર અમલમાં મૂકાયેલા સ્તરના સ્વરૂપમાં ફરીથી ડિઝાઇન કરવામાં આવી છે.
• TLS પ્રોટોકોલનું અમલીકરણ કામગીરીને ઝડપી બનાવવા માટે Linux કર્નલમાં બનેલ TLS ક્લાયંટ અને સર્વરનો ઉપયોગ કરવાની ક્ષમતા પૂરી પાડે છે. Linux કર્નલ દ્વારા પૂરા પાડવામાં આવેલ TLS અમલીકરણને સક્ષમ કરવા માટે, તમારે "SSL_OP_ENABLE_KTLS" વિકલ્પ અથવા "enable-ktls" સેટિંગને સક્ષમ કરવું પડશે.
• નવા અલ્ગોરિધમ્સ માટે ઉમેરાયેલ સમર્થન:
  • કી જનરેશન અલ્ગોરિધમ્સ (KDF) એ "સિંગલ સ્ટેપ" અને "SSH" છે.
  • સિમ્યુલેટેડ ઇન્સર્શન એલ્ગોરિધમ્સ (MAC) એ “GMAC” અને “KMAC” છે.
  • RSA કી એન્કેપ્સ્યુલેશન અલ્ગોરિધમ (KEM) "RSASVE".
  • એન્ક્રિપ્શન અલ્ગોરિધમ "AES-SIV" (RFC-8452).
  • EVP API માં ઉમેરાયેલ કૉલ્સ કે જે એન્ક્રિપ્ટ કરવા માટે AES અલ્ગોરિધમનો ઉપયોગ કરીને વ્યસ્ત સાઇફર્સને સમર્થન આપે છે (કી રેપ): “AES-128-WRAP-INV”, “AES-192-WRAP-INV”, “AES-256-WRAP-INV ” , "AES-128-WRAP-PAD-INV", "AES-192-WRAP-PAD-INV" અને "AES-256-WRAP-PAD-INV".
  • EVP API માં સાઇફરટેક્સ્ટ બોરોઇંગ (CTS) અલ્ગોરિધમ્સ માટે ઉમેરાયેલ સમર્થન: “AES-128-CBC-CTS”, “AES-192-CBC-CTS”, “AES-256-CBC-CTS”, “CAMELLIA-128-CBC -CTS"", "CAMELLIA-192-CBC-CTS" અને "CAMELLIA-256-CBC-CTS".
  • CAdES-BES ડિજિટલ હસ્તાક્ષરો (RFC 5126) માટે ઉમેરાયેલ સમર્થન.
  • AES_GCM એ AES GCM મોડનો ઉપયોગ કરીને પ્રમાણિત અને એન્ક્રિપ્ટેડ સંદેશાઓના એન્ક્રિપ્શન અને ડિક્રિપ્શનને સક્ષમ કરવા AuthEnvelopedData (RFC 5083) પેરામીટરનો અમલ કરે છે.
• PKCS7_get_octet_string અને PKCS7_type_is_other ફંક્શન્સને પબ્લિક API માં ઉમેરવામાં આવ્યા છે.
• PKCS#12 API એ PKCS12_create() ફંક્શનમાં PBKDF2 અને AES સાથે ઉપયોગમાં લેવાતા ડિફોલ્ટ અલ્ગોરિધમ્સને બદલે છે અને MAC ની ગણતરી કરવા માટે SHA-256 અલ્ગોરિધમનો ઉપયોગ કરે છે. ભૂતકાળની વર્તણૂક પુનઃસ્થાપિત કરવા માટે, "-લેગસી" વિકલ્પ પૂરો પાડવામાં આવે છે. PKCS12_*_ex, PKCS5_*_ex અને PKCS8_*_ex પર મોટી સંખ્યામાં નવા વિસ્તૃત કૉલ ઉમેર્યા, જેમ કે PKCS12_add_key_ex().PKCS12_create_ex() અને PKCS12_decrypt_skey_ex().
• Windows પ્લેટફોર્મ માટે, SRWLock મિકેનિઝમનો ઉપયોગ કરીને થ્રેડ સિંક્રનાઇઝેશન માટે સપોર્ટ ઉમેરવામાં આવ્યો છે.
• એક નવું ટ્રેસિંગ API ઉમેર્યું, સક્ષમ-ટ્રેસ પેરામીટર દ્વારા સક્ષમ.
• EVP_PKEY_public_check() અને EVP_PKEY_param_check() ફંક્શનમાં સપોર્ટેડ કીની શ્રેણીને વિસ્તૃત કરવામાં આવી છે: RSA, DSA, ED25519, X25519, ED448 અને X448.
• RAND_DRBG સબસિસ્ટમ દૂર કરવામાં આવી છે, તેને EVP_RAND API દ્વારા બદલવામાં આવી છે. FIPS_mode() અને FIPS_mode_set() કાર્યો દૂર કરવામાં આવ્યા છે.
• API નો નોંધપાત્ર ભાગ અપ્રચલિત રેન્ડર કરવામાં આવ્યો છે - પ્રોજેક્ટ કોડમાં અપ્રચલિત કૉલ્સનો ઉપયોગ કરવાથી સંકલન દરમિયાન ચેતવણીઓ આવશે. અલ્ગોરિધમ્સના અમુક અમલીકરણો સાથે જોડાયેલા નિમ્ન-સ્તરના API સહિત (ઉદાહરણ તરીકે, AES_set_encrypt_key અને AES_encrypt) સત્તાવાર રીતે અપ્રચલિત જાહેર કરવામાં આવ્યા છે. OpenSSL 3.0.0 માં અધિકૃત સમર્થન હવે માત્ર ઉચ્ચ-સ્તરના EVP API માટે જ પ્રદાન કરવામાં આવે છે જે વ્યક્તિગત અલ્ગોરિધમ પ્રકારોથી અમૂર્ત છે (આ API માં, ઉદાહરણ તરીકે, EVP_EncryptInit_ex, EVP_EncryptUpdate, અને EVP_EncryptFinal કાર્યોનો સમાવેશ થાય છે). નાપસંદ API ને આગામી મુખ્ય પ્રકાશનોમાંથી એકમાં દૂર કરવામાં આવશે. EVP API દ્વારા ઉપલબ્ધ MD2 અને DES જેવા લેગસી અલ્ગોરિધમ્સના અમલીકરણોને અલગ "લેગસી" મોડ્યુલમાં ખસેડવામાં આવ્યા છે, જે ડિફોલ્ટ રૂપે અક્ષમ છે.
• દસ્તાવેજીકરણ અને પરીક્ષણ સ્યુટ નોંધપાત્ર રીતે વિસ્તૃત કરવામાં આવ્યા છે. શાખા 1.1.1 ની તુલનામાં, દસ્તાવેજીકરણની માત્રા 94% વધી છે, અને ટેસ્ટ સ્યુટ કોડનું કદ 54% વધ્યું છે.

સોર્સ: opennet.ru