Peluncuran perpustakaan kriptografi kompak wolfSSL 5.1.0, dioptimalkan untuk digunakan pada perangkat tertanam dengan sumber daya prosesor dan memori terbatas, seperti perangkat Internet of Things, sistem rumah pintar, sistem informasi otomotif, router dan telepon seluler, telah disiapkan. Kode ini ditulis dalam bahasa C dan didistribusikan di bawah lisensi GPLv2.
Pustaka ini menyediakan implementasi algoritma kriptografi modern berkinerja tinggi, termasuk ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 dan DTLS 1.2, yang menurut pengembangnya 20 kali lebih kompak daripada implementasi dari OpenSSL. Ini menyediakan API yang disederhanakan dan lapisan untuk kompatibilitas dengan OpenSSL API. Ada dukungan untuk OCSP (Online Certificate Status Protocol) dan CRL (Certificate Revocation List) untuk memeriksa pencabutan sertifikat.
Inovasi utama wolfSSL 5.1.0:
- Dukungan platform tambahan: NXP SE050 (dengan dukungan untuk Curve25519) dan Renesas RA6M4. Untuk Renesas RX65N/RX72N, dukungan untuk TSIP 1.14 (IP Aman Tepercaya) telah ditambahkan.
- Menambahkan kemampuan untuk menggunakan algoritma kriptografi pasca-kuantum di port untuk server http Apache. Untuk TLS 1.3, skema tanda tangan digital NIST putaran 3 FALCON telah diterapkan. Menambahkan pengujian cURL yang dikompilasi dari wolfSSL dalam mode menggunakan algoritma kripto, tahan terhadap seleksi pada komputer kuantum.
- Untuk memastikan kompatibilitas dengan perpustakaan dan aplikasi lain, dukungan untuk NGINX 1.21.4 dan Apache httpd 2.4.51 telah ditambahkan ke lapisan.
- Menambahkan dukungan untuk flag SSL_OP_NO_TLSv1_2 dan fungsi SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_data, SSL_write_ear ke kode untuk kompatibilitas OpenSSL ly_data.
- Menambahkan kemampuan untuk mendaftarkan fungsi panggilan balik untuk menggantikan implementasi bawaan algoritma AES-CCM.
- Menambahkan makro WOLFSSL_CUSTOM_OID untuk menghasilkan OID khusus untuk CSR (permintaan penandatanganan sertifikat).
- Menambahkan dukungan untuk tanda tangan ECC deterministik, diaktifkan oleh makro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Menambahkan fungsi baru wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert dan wc_FreeDecodedCert.
- Dua kerentanan yang dinilai memiliki tingkat keparahan rendah telah diatasi. Kerentanan pertama memungkinkan serangan DoS pada aplikasi klien selama serangan MITM pada koneksi TLS 1.2. Kerentanan kedua berkaitan dengan kemungkinan mendapatkan kendali atas dimulainya kembali sesi klien saat menggunakan proxy berbasis wolfSSL atau koneksi yang tidak memeriksa seluruh rantai kepercayaan pada sertifikat server.
Sumber: opennet.ru