È stato preparato il rilascio della libreria crittografica compatta wolfSSL 5.1.0, ottimizzata per l'uso su dispositivi embedded con risorse di processore e memoria limitate, come dispositivi Internet of Things, sistemi smart home, sistemi di informazione automobilistica, router e telefoni cellulari. Il codice è scritto in linguaggio C e distribuito sotto licenza GPLv2.
La libreria fornisce implementazioni ad alte prestazioni di moderni algoritmi crittografici, tra cui ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 e DTLS 1.2, che secondo gli sviluppatori sono 20 volte più compatti delle implementazioni di OpenSSL. Fornisce sia la propria API semplificata che un livello per la compatibilità con l'API OpenSSL. È disponibile il supporto per OCSP (Online Certificate Status Protocol) e CRL (Certificate Revocation List) per il controllo delle revoche dei certificati.
Principali innovazioni in wolfSSL 5.1.0:
- Aggiunto supporto per la piattaforma: NXP SE050 (con supporto Curve25519) e Renesas RA6M4. Per Renesas RX65N/RX72N, è stato aggiunto il supporto per TSIP 1.14 (Trusted Secure IP).
- Aggiunta la possibilità di utilizzare algoritmi di crittografia post-quantistica nel port per il server http Apache. Per TLS 1.3, è stato implementato lo schema di firma digitale FALCON del round 3 del NIST. Aggiunti test di cURL compilati da wolfSSL nella modalità di utilizzo di algoritmi crittografici, resistenti alla selezione su un computer quantistico.
- Per garantire la compatibilità con altre librerie e applicazioni, al livello è stato aggiunto il supporto per NGINX 1.21.4 e Apache httpd 2.4.51.
- Aggiunto il supporto per il flag SSL_OP_NO_TLSv1_2 e le funzioni SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_data, SSL_write al codice per la compatibilità OpenSSL _early_data.
- Aggiunta la possibilità di registrare una funzione di callback per sostituire l'implementazione integrata dell'algoritmo AES-CCM.
- Aggiunta la macro WOLFSSL_CUSTOM_OID per generare OID personalizzati per CSR (richiesta di firma del certificato).
- Aggiunto il supporto per le firme ECC deterministiche, abilitato dalla macro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Aggiunte nuove funzioni wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert e wc_FreeDecodedCert.
- Sono state risolte due vulnerabilità classificate come di gravità bassa. La prima vulnerabilità consente un attacco DoS su un'applicazione client durante un attacco MITM su una connessione TLS 1.2. La seconda vulnerabilità riguarda la possibilità di ottenere il controllo sulla ripresa di una sessione client quando si utilizza un proxy basato su wolfSSL o connessioni che non controllano l'intera catena di fiducia nel certificato del server.
Fonte: opennet.ru