Ir sagatavota kompaktās kriptogrāfijas bibliotēkas wolfSSL 5.1.0 izlaidums, kas optimizēts lietošanai iegultās ierīcēs ar ierobežotiem procesora un atmiņas resursiem, piemēram, lietu interneta ierīcēm, viedās mājas sistēmām, automobiļu informācijas sistēmām, maršrutētājiem un mobilajiem tālruņiem. Kods ir rakstīts C valodā un tiek izplatīts saskaņā ar GPLv2 licenci.
Bibliotēka nodrošina modernu kriptogrāfijas algoritmu augstas veiktspējas implementācijas, tostarp ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 un DTLS 1.2, kas, pēc izstrādātāju domām, ir 20 reizes kompaktākas nekā implementācijas no OpenSSL. Tas nodrošina gan savu vienkāršoto API, gan slāni saderībai ar OpenSSL API. Sertifikātu atsaukumu pārbaudei tiek atbalstīts OCSP (tiešsaistes sertifikātu statusa protokols) un CRL (sertifikātu atsaukšanas saraksts).
Galvenie wolfSSL 5.1.0 jauninājumi:
- Pievienots platformas atbalsts: NXP SE050 (ar Curve25519 atbalstu) un Renesas RA6M4. Renesas RX65N/RX72N ir pievienots TSIP 1.14 (Trusted Secure IP) atbalsts.
- Pievienota iespēja izmantot pēckvantu kriptogrāfijas algoritmus Apache http servera portā. TLS 1.3 ir ieviesta NIST 3. kārtas FALCON digitālā paraksta shēma. Pievienoti cURL testi, kas apkopoti no wolfSSL kripto-algoritmu izmantošanas režīmā, izturīgi pret atlasi kvantu datorā.
- Lai nodrošinātu saderību ar citām bibliotēkām un lietojumprogrammām, slānim ir pievienots atbalsts NGINX 1.21.4 un Apache httpd 2.4.51.
- Lai nodrošinātu saderību ar OpenSSL, atbalstiet karogu SSL_OP_NO_TLSv1_2 un funkcijas SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_conta,SSarly d_value_type, SSL_read_early_data SSL_write_ ir pievienots kodam early_data.
- Pievienota iespēja reģistrēt atzvanīšanas funkciju, lai aizstātu iebūvēto AES-CCM algoritma ieviešanu.
- Pievienots makro WOLFSSL_CUSTOM_OID, lai ģenerētu pielāgotus OID CSR (sertifikāta parakstīšanas pieprasījums).
- Pievienots atbalsts deterministiskajiem ECC parakstiem, ko iespējo makro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Pievienotas jaunas funkcijas wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert un wc_FreeDecodedCert.
- Ir novērstas divas ievainojamības, kas novērtētas kā zemas smaguma pakāpes. Pirmā ievainojamība ļauj veikt DoS uzbrukumu klienta lietojumprogrammai MITM uzbrukuma laikā TLS 1.2 savienojumam. Otrā ievainojamība ir saistīta ar iespēju iegūt kontroli pār klienta sesijas atsākšanu, izmantojot uz wolfSSL balstītu starpniekserveri vai savienojumus, kas nepārbauda visu servera sertifikāta uzticamības ķēdi.
Avots: opennet.ru