Elkészült a wolfSSL 5.1.0 kompakt kriptográfiai könyvtár kiadása, amelyet korlátozott processzor- és memória-erőforrásokkal rendelkező beágyazott eszközökre, például a dolgok internetes eszközeire, intelligens otthoni rendszerekre, autóipari információs rendszerekre, útválasztókra és mobiltelefonokra optimalizáltak. A kód C nyelven íródott, és a GPLv2 licenc alatt kerül terjesztésre.
A könyvtár a modern kriptográfiai algoritmusok nagy teljesítményű implementációit kínálja, köztük a ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 és DTLS 1.2, amelyek a fejlesztők szerint 20-szor kompaktabbak, mint az OpenSSL implementációi. Saját egyszerűsített API-t és egy réteget is biztosít az OpenSSL API-val való kompatibilitáshoz. Az OCSP (Online Certificate Status Protocol) és a CRL (Certificate Revocation List) támogatása a tanúsítványok visszavonásának ellenőrzésére szolgál.
A wolfSSL 5.1.0 főbb újításai:
- Hozzáadott platform támogatás: NXP SE050 (Curve25519 támogatással) és Renesas RA6M4. A Renesas RX65N/RX72N esetében a TSIP 1.14 (Trusted Secure IP) támogatása hozzáadásra került.
- Hozzáadtuk a kvantum utáni kriptográfiai algoritmusok használatának lehetőségét az Apache http szerver portjában. A TLS 1.3 esetében a NIST round 3 FALCON digitális aláírási sémát implementálták. Hozzáadott tesztek a wolfSSL-ből összeállított cURL-hez kripto-algoritmusok használatában, amelyek ellenállnak a kvantumszámítógépen történő kiválasztásnak.
- A többi könyvtárral és alkalmazással való kompatibilitás biztosítása érdekében az NGINX 1.21.4 és az Apache httpd 2.4.51 támogatása hozzáadásra került a réteghez.
- Az OpenSSL-lel való kompatibilitás érdekében támogatja az SSL_OP_NO_TLSv1_2 jelzőt és az SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_daxta,SSarly d_value_type, SSL_read_early_data Az SSL_write_ hozzá lett adva a early_data kódhoz.
- Hozzáadtuk a visszahívási funkció regisztrálásának lehetőségét az AES-CCM algoritmus beépített megvalósításának helyettesítésére.
- Hozzáadott WOLFSSL_CUSTOM_OID makró egyéni OID-k létrehozásához a CSR-hez (tanúsítvány-aláíró kérés).
- Hozzáadott támogatás a determinisztikus ECC aláírásokhoz, az FSSL_ECDSA_DETERMINISTIC_K_VARIANT makró által engedélyezett.
- Hozzáadott új funkciók wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert és wc_FreeDecodedCert.
- Két alacsony súlyosságúnak minősített sebezhetőséget sikerült feloldani. Az első biztonsági rés DoS-támadást tesz lehetővé egy ügyfélalkalmazás ellen TLS 1.2-es kapcsolat elleni MITM-támadás során. A második biztonsági rés az ügyfél-munkamenet folytatása feletti irányítás megszerzésének lehetőségével kapcsolatos, ha wolfSSL-alapú proxyt vagy olyan kapcsolatokat használnak, amelyek nem ellenőrzik a kiszolgálótanúsítvány teljes bizalmi láncát.
Forrás: opennet.ru