È disponibile una nuova versione della libreria crittografica compatta wolfSSL 5.0.0, ottimizzata per l'uso su dispositivi embedded con vincoli di processore e memoria come dispositivi Internet of Things, sistemi smart home, sistemi informativi automobilistici, router e telefoni cellulari. Il codice è scritto in linguaggio C e distribuito sotto licenza GPLv2.
La libreria fornisce implementazioni ad alte prestazioni di moderni algoritmi crittografici, tra cui ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 e DTLS 1.2, che secondo gli sviluppatori sono 20 volte più compatti delle implementazioni di OpenSSL. Fornisce sia la propria API semplificata che un livello per la compatibilità con l'API OpenSSL. È disponibile il supporto per OCSP (Online Certificate Status Protocol) e CRL (Certificate Revocation List) per il controllo delle revoche dei certificati.
Principali innovazioni in wolfSSL 5.0.0:
- Aggiunto supporto piattaforma: IoT-Safe (con supporto TLS), SE050 (con supporto RNG, SHA, AES, ECC e ED25519) e Renesas TSIP 1.13 (per microcontrollori RX72N).
- Aggiunto supporto per algoritmi di crittografia post-quantistica resistenti alla selezione su un computer quantistico: gruppi KEM NIST Round 3 per TLS 1.3 e gruppi ibridi NIST ECC basati sul progetto OQS (Open Quantum Safe, liboqs). Allo strato sono stati aggiunti anche gruppi resistenti alla selezione su un computer quantistico per garantire la compatibilità. Il supporto per gli algoritmi NTRU e QSH è stato interrotto.
- Il modulo per il kernel Linux fornisce il supporto per algoritmi crittografici conformi allo standard di sicurezza FIPS 140-3. Viene presentato un prodotto separato con l'implementazione di FIPS 140-3, il cui codice è ancora in fase di test, revisione e verifica.
- Al modulo per il kernel Linux sono state aggiunte varianti degli algoritmi RSA, ECC, DH, DSA, AES/AES-GCM, accelerati utilizzando istruzioni vettoriali x86 CPU. Utilizzando le istruzioni vettoriali, anche i gestori degli interrupt vengono accelerati. Aggiunto il supporto per un sottosistema per il controllo dei moduli tramite firma digitale. È possibile costruire il motore crittografico wolfCrypt incorporato nella modalità “—enable-linuxkm-pie” (indipendente dalla posizione). Il modulo fornisce supporto per i kernel Linux 3.16, 4.4, 4.9, 5.4 e 5.10.
- Per garantire la compatibilità con altre librerie e applicazioni, al livello è stato aggiunto il supporto per libssh2, pyOpenSSL, libimobiledevice, rsyslog, OpenSSH 8.5p1 e Python 3.8.5.
- Aggiunta gran parte di nuove API, tra cui EVP_blake2, wolfSSL_set_client_CA_list, wolfSSL_EVP_sha512_256, wc_Sha512*, EVP_shake256, SSL_CIPHER_*, SSL_SESSION_*, ecc.
- Risolte due vulnerabilità considerate benigne: un blocco durante la creazione di firme digitali DSA con determinati parametri e una verifica errata dei certificati con più nomi alternativi di oggetti quando si utilizzano restrizioni sui nomi.
Fonte: opennet.ru