Parengta kompaktiškos kriptografinės bibliotekos wolfSSL 5.1.0, optimizuotos naudoti įterptiniuose įrenginiuose su ribotais procesoriaus ir atminties ištekliais, tokiuose kaip daiktų interneto įrenginiai, išmaniųjų namų sistemos, automobilių informacinės sistemos, maršrutizatoriai ir mobilieji telefonai, leidimui. Kodas parašytas C kalba ir platinamas pagal GPLv2 licenciją.
Bibliotekoje pateikiami didelio našumo modernių kriptografinių algoritmų, įskaitant ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 ir DTLS 1.2, diegimai, kurie, pasak kūrėjų, yra 20 kartų kompaktiškesni už OpenSSL diegimus. Ji suteikia savo supaprastintą API ir suderinamumo su OpenSSL API sluoksnį. Sertifikatų atšaukimams tikrinti palaikomas OCSP (internetinis sertifikato būsenos protokolas) ir CRL (sertifikatų panaikinimo sąrašas).
Pagrindinės wolfSSL 5.1.0 naujovės:
- Pridėtas platformos palaikymas: NXP SE050 (su Curve25519 palaikymu) ir Renesas RA6M4. Prie Renesas RX65N / RX72N pridėtas TSIP 1.14 (Trusted Secure IP) palaikymas.
- Pridėta galimybė naudoti postkvantinės kriptografijos algoritmus Apache http serverio prievade. TLS 1.3 buvo įdiegta NIST 3 raundo FALCON skaitmeninio parašo schema. Pridėta cURL, sudaryto iš wolfSSL, testai kriptovaliutų algoritmų naudojimo režimu, atsparūs atrankai kvantiniame kompiuteryje.
- Siekiant užtikrinti suderinamumą su kitomis bibliotekomis ir programomis, į sluoksnį įtrauktas NGINX 1.21.4 ir Apache httpd 2.4.51 palaikymas.
- Dėl suderinamumo su OpenSSL palaikykite žymą SSL_OP_NO_TLSv1_2 ir funkcijas SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_conta,SSarly d_value_type, SSL_read_early_data SSL_write_ buvo pridėtas prie kodo early_data.
- Pridėta galimybė užregistruoti atgalinio skambinimo funkciją, kad pakeistų integruotą AES-CCM algoritmo įgyvendinimą.
- Pridėta makrokomanda WOLFSSL_CUSTOM_OID, kad būtų generuojami pasirinktiniai CSR (sertifikato pasirašymo užklausa) OID.
- Pridėtas deterministinių ECC parašų palaikymas, įgalintas makrokomandos FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Pridėtos naujos funkcijos wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert ir wc_FreeDecodedCert.
- Buvo pašalinti du pažeidžiamumai, įvertinti kaip mažo sunkumo. Pirmasis pažeidžiamumas leidžia vykdyti DoS ataką prieš kliento programą per MITM ataką prieš TLS 1.2 ryšį. Antrasis pažeidžiamumas yra susijęs su galimybe valdyti kliento seanso atnaujinimą naudojant wolfSSL pagrįstą tarpinį serverį arba ryšius, kurie netikrina visos pasitikėjimo serverio sertifikatu grandinės.
Šaltinis: opennet.ru