Објавување на криптографска библиотека wolfSSL 5.1.0

Подготвено е објавувањето на компактната криптографска библиотека wolfSSL 5.1.0, оптимизирана за употреба на вградени уреди со ограничени процесорски и мемориски ресурси, како што се уреди за Интернет на нештата, системи за паметни домови, информациски системи за автомобилската индустрија, рутери и мобилни телефони. Кодот е напишан на јазик C и дистрибуиран под лиценцата GPLv2.

Библиотеката обезбедува имплементации со високи перформанси на современи криптографски алгоритми, вклучувајќи ги ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 и DTLS 1.2, кои според програмерите се 20 пати покомпактни од имплементациите од OpenSSL. Обезбедува и сопствен поедноставен API и слој за компатибилност со OpenSSL API. Има поддршка за OCSP (Online Certificate Status Protocol) и CRL (Certificate Revocation List) за проверка на отповикувања на сертификати.

Главните иновации на wolfSSL 5.1.0:

• Додадена поддршка за платформа: NXP SE050 (со поддршка за Curve25519) и Renesas RA6M4. За Renesas RX65N/RX72N, додадена е поддршка за TSIP 1.14 (Trusted Secure IP).
• Додадена е можност за користење алгоритми за пост-квантна криптографија во пристаништето за серверот Apache http. За TLS 1.3, имплементирана е шемата за дигитален потпис NIST круг 3 FALCON. Додадени тестови на cURL компајлирани од wolfSSL во режим на користење крипто-алгоритми, отпорни на избор на квантен компјутер.
• За да се обезбеди компатибилност со други библиотеки и апликации, поддршката за NGINX 1.21.4 и Apache httpd 2.4.51 е додадена во слојот.
• Додадена е поддршка за знаменцето SSL_OP_NO_TLSv1_2 и функциите SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CON_valde_cmdar _early_data, SSL_write во кодот за OpenSSL компатибилност _early_data.
• Додадена е можност за регистрирање функција за повратен повик за да се замени вградената имплементација на алгоритмот AES-CCM.
• Додадено е макро WOLFSSL_CUSTOM_OID за генерирање сопствени OID за ООП (барање за потпишување сертификат).
• Додадена е поддршка за детерминистички ECC потписи, овозможени од макрото FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
• Додадени се нови функции wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert и wc_FreeDecodedCert.
• Две ранливости оценети како ниска сериозност се решени. Првата ранливост дозволува DoS напад на клиентска апликација за време на MITM напад на TLS 1.2 конекција. Втората ранливост се однесува на можноста за стекнување контрола врз продолжувањето на сесијата на клиентот кога се користи прокси базиран на wolfSSL или врски што не го проверуваат целиот синџир на доверба во сертификатот на серверот.

Извор: opennet.ru