OpenSSL 3.0.0 ക്രിപ്‌റ്റോഗ്രാഫിക് ലൈബ്രറി റിലീസ്

മൂന്ന് വർഷത്തെ വികസനത്തിനും 19 ടെസ്റ്റ് റിലീസുകൾക്കും ശേഷം, SSL/TLS പ്രോട്ടോക്കോളുകളും വിവിധ എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളും നടപ്പിലാക്കിക്കൊണ്ട് OpenSSL 3.0.0 ലൈബ്രറി പുറത്തിറങ്ങി. പുതിയ ബ്രാഞ്ചിൽ API, ABI ലെവലിൽ ബാക്ക്വേർഡ് കോംപാറ്റിബിലിറ്റി തകർക്കുന്ന മാറ്റങ്ങൾ ഉൾപ്പെടുന്നു, എന്നാൽ OpenSSL 1.1.1-ൽ നിന്ന് മൈഗ്രേറ്റ് ചെയ്യുന്നതിന് പുനർനിർമ്മാണം ആവശ്യമുള്ള മിക്ക ആപ്ലിക്കേഷനുകളുടെയും പ്രവർത്തനത്തെ മാറ്റങ്ങൾ ബാധിക്കില്ല. OpenSSL 1.1.1-ന്റെ മുമ്പത്തെ ബ്രാഞ്ച് സെപ്റ്റംബർ 2023 വരെ പിന്തുണയ്ക്കും.

പരമ്പരാഗത "Major.Minor.Patch" നമ്പറിംഗിലേക്കുള്ള മാറ്റം മൂലമാണ് പതിപ്പ് നമ്പറിൽ കാര്യമായ മാറ്റം. ഇനി മുതൽ, എപിഐ/എബിഐ തലത്തിൽ അനുയോജ്യത തകർന്നാൽ മാത്രമേ പതിപ്പ് നമ്പറിലെ ആദ്യ അക്കം (മേജർ) മാറൂ, എപിഐ/എബിഐ മാറ്റാതെ പ്രവർത്തനം വർദ്ധിപ്പിക്കുമ്പോൾ രണ്ടാമത്തേത് (മൈനർ) മാറും. മൂന്നാമത്തെ അക്കത്തിലേക്ക് (പാച്ച്) ഒരു മാറ്റത്തോടെ തിരുത്തൽ അപ്‌ഡേറ്റുകൾ വിതരണം ചെയ്യും. OpenSSL-നായി നിലവിൽ വികസിപ്പിച്ചുകൊണ്ടിരിക്കുന്ന FIPS മൊഡ്യൂളുമായി ഓവർലാപ്പ് ചെയ്യുന്നത് ഒഴിവാക്കാൻ 3.0.0-ന് തൊട്ടുപിന്നാലെ 1.1.1 നമ്പർ തിരഞ്ഞെടുത്തു, ഇതിനായി 2.x നമ്പറിംഗ് ഉപയോഗിച്ചു.

ഡ്യുവൽ ലൈസൻസിൽ നിന്ന് (ഓപ്പൺഎസ്എസ്എൽ, എസ്എസ്എൽഎ) അപ്പാച്ചെ 2.0 ലൈസൻസിലേക്കുള്ള പരിവർത്തനമാണ് പ്രോജക്റ്റിന്റെ രണ്ടാമത്തെ പ്രധാന മാറ്റം. മുൻ ഉടമസ്ഥതയിലുള്ള ഓപ്പൺഎസ്എസ്എൽ ലൈസൻസ് ലെഗസി അപ്പാച്ചെ 1.0 ലൈസൻസിന്റെ വാചകത്തെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് കൂടാതെ OpenSSL ലൈബ്രറികൾ ഉപയോഗിക്കുമ്പോൾ മാർക്കറ്റിംഗ് മെറ്റീരിയലുകളിൽ OpenSSL-നെ കുറിച്ച് വ്യക്തമായ പരാമർശം ആവശ്യമാണ്, കൂടാതെ ഉൽപ്പന്നത്തിന്റെ ഭാഗമായി OpenSSL നൽകിയിട്ടുണ്ടെങ്കിൽ ഒരു പ്രത്യേക അറിയിപ്പും ആവശ്യമാണ്. ഈ ആവശ്യകതകൾ പഴയ ലൈസൻസ് GPL-മായി പൊരുത്തപ്പെടുന്നില്ല, GPL-ലൈസൻസ് ഉള്ള പ്രോജക്റ്റുകളിൽ OpenSSL ഉപയോഗിക്കുന്നത് ബുദ്ധിമുട്ടാക്കി. ഈ പൊരുത്തക്കേടിനെ മറികടക്കാൻ, GPL പ്രോജക്റ്റുകൾ നിർദ്ദിഷ്ട ലൈസൻസ് കരാറുകൾ ഉപയോഗിക്കാൻ നിർബന്ധിതരായി, അതിൽ GPL-ന്റെ പ്രധാന വാചകം അനുബന്ധമായി ഓപ്പൺഎസ്എസ്എൽ ലൈബ്രറിയുമായി ആപ്ലിക്കേഷനെ ലിങ്ക് ചെയ്യാൻ അനുവദിക്കുകയും GPL-ന്റെ ആവശ്യകതകൾ അങ്ങനെയല്ലെന്ന് സൂചിപ്പിക്കുകയും ചെയ്യുന്ന ഒരു ക്ലോസ് ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. OpenSSL-മായി ലിങ്കുചെയ്യുന്നതിന് അപേക്ഷിക്കുക.

OpenSSL 1.1.1 ബ്രാഞ്ചുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ, OpenSSL 3.0.0 7500 ഡെവലപ്പർമാർ സംഭാവന ചെയ്ത 350-ലധികം മാറ്റങ്ങൾ ചേർത്തു. OpenSSL 3.0.0-ന്റെ പ്രധാന കണ്ടുപിടുത്തങ്ങൾ:

• FIPS 140-2 സുരക്ഷാ മാനദണ്ഡം പാലിക്കുന്ന ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ നടപ്പിലാക്കുന്നത് ഉൾപ്പെടെ ഒരു പുതിയ FIPS മൊഡ്യൂൾ നിർദ്ദേശിച്ചിട്ടുണ്ട് (മൊഡ്യൂളിനുള്ള സർട്ടിഫിക്കേഷൻ പ്രക്രിയ ഈ മാസം ആരംഭിക്കും, FIPS 140-2 സർട്ടിഫിക്കേഷൻ അടുത്ത വർഷം പ്രതീക്ഷിക്കുന്നു). പുതിയ മൊഡ്യൂൾ ഉപയോഗിക്കാൻ വളരെ എളുപ്പമാണ് കൂടാതെ പല ആപ്ലിക്കേഷനുകളിലേക്കും ഇത് ബന്ധിപ്പിക്കുന്നത് കോൺഫിഗറേഷൻ ഫയൽ മാറ്റുന്നതിനേക്കാൾ ബുദ്ധിമുട്ടുള്ള കാര്യമല്ല. സ്ഥിരസ്ഥിതിയായി, FIPS മൊഡ്യൂൾ പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു, കൂടാതെ പ്രവർത്തനക്ഷമമാക്കുക-fips ഓപ്‌ഷൻ പ്രവർത്തനക്ഷമമാക്കേണ്ടതുണ്ട്.
• പ്ലഗ്ഗബിൾ പ്രൊവൈഡർമാർ എന്ന ആശയം libcrypto നടപ്പിലാക്കുന്നു, അത് എഞ്ചിനുകളുടെ ആശയത്തിന് പകരമായി (ENGINE API ഒഴിവാക്കിയിരിക്കുന്നു). ദാതാക്കളുടെ സഹായത്തോടെ, എൻക്രിപ്ഷൻ, ഡീക്രിപ്ഷൻ, കീ ജനറേഷൻ, MAC കണക്കുകൂട്ടൽ, ഡിജിറ്റൽ സിഗ്നേച്ചറുകൾ സൃഷ്ടിക്കൽ, സ്ഥിരീകരണം എന്നിവ പോലുള്ള പ്രവർത്തനങ്ങൾക്കായി നിങ്ങൾക്ക് അൽഗോരിതങ്ങളുടെ നിങ്ങളുടെ സ്വന്തം നടപ്പാക്കലുകൾ ചേർക്കാൻ കഴിയും. പുതിയവ ബന്ധിപ്പിക്കുന്നതിനും ഇതിനകം പിന്തുണയ്‌ക്കുന്ന അൽഗരിതങ്ങളുടെ ഇതര നിർവ്വഹണങ്ങൾ സൃഷ്ടിക്കുന്നതിനും ഇത് സാധ്യമാണ് (സ്വതവേ, OpenSSL-ൽ നിർമ്മിച്ച ദാതാവ് ഇപ്പോൾ ഓരോ അൽഗോരിതത്തിനും ഉപയോഗിക്കുന്നു).
• CA സെർവറിൽ നിന്ന് സർട്ടിഫിക്കറ്റുകൾ അഭ്യർത്ഥിക്കാനും സർട്ടിഫിക്കറ്റുകൾ അപ്‌ഡേറ്റ് ചെയ്യാനും സർട്ടിഫിക്കറ്റുകൾ അസാധുവാക്കാനും ഉപയോഗിക്കാവുന്ന സർട്ടിഫിക്കറ്റ് മാനേജ്‌മെന്റ് പ്രോട്ടോക്കോളിന് (RFC 4210) പിന്തുണ ചേർത്തു. CMP-യിൽ പ്രവർത്തിക്കുന്നത് പുതിയ openssl-cmp യൂട്ടിലിറ്റി ഉപയോഗിച്ചാണ് നടത്തുന്നത്, ഇത് CRMF ഫോർമാറ്റിനെ (RFC 4211) പിന്തുണയ്ക്കുകയും HTTP/HTTPS (RFC 6712) വഴി അഭ്യർത്ഥനകൾ അയയ്ക്കുകയും ചെയ്യുന്നു.
• HTTP, HTTPS പ്രോട്ടോക്കോളുകൾക്കായി ഒരു പൂർണ്ണമായ ക്ലയന്റ് നടപ്പിലാക്കി, GET, POST രീതികൾ പിന്തുണയ്ക്കുന്നു, റീഡയറക്ഷൻ അഭ്യർത്ഥിക്കുന്നു, ഒരു പ്രോക്സി വഴി പ്രവർത്തിക്കുന്നു, ASN.1 എൻകോഡിംഗും കാലഹരണപ്പെട്ട പ്രോസസ്സിംഗും.
• മോക്ക് ഇൻസേർട്ടുകളുടെ പുതിയ നിർവ്വഹണങ്ങൾ ചേർക്കുന്നത് എളുപ്പമാക്കുന്നതിന് ഒരു പുതിയ EVP_MAC (മെസേജ് ഓതന്റിക്കേഷൻ കോഡ് API) ചേർത്തു.
• കീകൾ സൃഷ്ടിക്കുന്നതിനുള്ള ഒരു പുതിയ സോഫ്‌റ്റ്‌വെയർ ഇന്റർഫേസ് നിർദ്ദേശിക്കപ്പെട്ടിരിക്കുന്നു - EVP_KDF (കീ ഡെറിവേഷൻ ഫംഗ്‌ഷൻ API), ഇത് KDF, PRF എന്നിവയുടെ പുതിയ നിർവ്വഹണങ്ങൾ കൂട്ടിച്ചേർക്കുന്നത് ലളിതമാക്കുന്നു. പഴയ EVP_PKEY API, അതിലൂടെ സ്‌ക്രിപ്റ്റ്, TLS1 PRF, HKDF അൽഗോരിതം എന്നിവ ലഭ്യമായിരുന്നു, EVP_KDF, EVP_MAC API-കൾക്ക് മുകളിൽ നടപ്പിലാക്കിയ ഒരു ലെയറിന്റെ രൂപത്തിൽ പുനർരൂപകൽപ്പന ചെയ്‌തു.
• TLS പ്രോട്ടോക്കോൾ നടപ്പിലാക്കുന്നത്, പ്രവർത്തനങ്ങൾ വേഗത്തിലാക്കാൻ ലിനക്സ് കേർണലിൽ നിർമ്മിച്ച TLS ക്ലയന്റും സെർവറും ഉപയോഗിക്കാനുള്ള കഴിവ് നൽകുന്നു. ലിനക്സ് കേർണൽ നൽകുന്ന TLS നടപ്പിലാക്കൽ പ്രവർത്തനക്ഷമമാക്കാൻ, നിങ്ങൾ "SSL_OP_ENABLE_KTLS" ഓപ്ഷൻ അല്ലെങ്കിൽ "enable-ktls" ക്രമീകരണം പ്രാപ്തമാക്കണം.
• പുതിയ അൽഗോരിതങ്ങൾക്കുള്ള പിന്തുണ ചേർത്തു:
  • "സിംഗിൾ സ്റ്റെപ്പ്", "എസ്എസ്എച്ച്" എന്നിവയാണ് പ്രധാന ജനറേഷൻ അൽഗോരിതങ്ങൾ (കെഡിഎഫ്).
  • "GMAC", "KMAC" എന്നിവയാണ് സിമുലേറ്റഡ് ഇൻസേർഷൻ അൽഗോരിതങ്ങൾ (MAC).
  • RSA കീ എൻക്യാപ്സുലേഷൻ അൽഗോരിതം (KEM) "RSASVE".
  • എൻക്രിപ്ഷൻ അൽഗോരിതം "AES-SIV" (RFC-8452).
  • കീകൾ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിന് (കീ റാപ്പ്) AES അൽഗോരിതം ഉപയോഗിച്ച് വിപരീത സൈഫറുകൾക്കുള്ള പിന്തുണയോടെ EVP API-ലേക്ക് കോളുകൾ ചേർത്തു: "AES-128-WRAP-INV", "AES-192-WRAP-INV", "AES-256-WRAP- INV" , "AES-128-WRAP-PAD-INV", "AES-192-WRAP-PAD-INV", "AES-256-WRAP-PAD-INV".
  • EVP API-ലേക്ക് സൈഫർടെക്സ്റ്റ് കടം വാങ്ങൽ (CTS) അൽഗോരിതങ്ങൾക്കുള്ള പിന്തുണ ചേർത്തു: "AES-128-CBC-CTS", "AES-192-CBC-CTS", "AES-256-CBC-CTS", "CAMELLIA-128-CBC" -സിടിഎസ്" ", "കാമെലിയ-192-സിബിസി-സിടിഎസ്", "കാമെലിയ-256-സിബിസി-സിടിഎസ്".
  • CAdES-BES ഡിജിറ്റൽ സിഗ്നേച്ചറുകൾക്കുള്ള പിന്തുണ ചേർത്തു (RFC 5126).
  • AES GCM മോഡ് ഉപയോഗിച്ച് ആധികാരികമാക്കപ്പെട്ടതും എൻക്രിപ്റ്റ് ചെയ്തതുമായ സന്ദേശങ്ങളുടെ എൻക്രിപ്ഷനും ഡീക്രിപ്ഷനും പ്രാപ്തമാക്കുന്നതിന് AES_GCM AuthEnvelopedData (RFC 5083) പാരാമീറ്റർ നടപ്പിലാക്കുന്നു.
• PKCS7_get_octet_string ഉം PKCS7_type_is_other ഫംഗ്ഷനുകളും പൊതു API-യിൽ ചേർത്തു.
• PKCS12_create() ഫംഗ്‌ഷനിൽ ഉപയോഗിക്കുന്ന ഡിഫോൾട്ട് അൽഗോരിതങ്ങൾ PBKDF12, AES എന്നിവ ഉപയോഗിച്ച് PKCS#2 API മാറ്റിസ്ഥാപിക്കുന്നു, കൂടാതെ MAC കണക്കാക്കാൻ SHA-256 അൽഗോരിതം ഉപയോഗിക്കുന്നു. മുൻകാല സ്വഭാവം പുനഃസ്ഥാപിക്കുന്നതിന്, "-legacy" ഓപ്ഷൻ നൽകിയിരിക്കുന്നു. PKCS12_add_key_ex().PKCS5_create_ex(), PKCS8_decrypt_skey_ex() എന്നിങ്ങനെ PKCS12_*_ex, PKCS12_*_ex, PKCS12_*_ex എന്നിവയിലേക്ക് ധാരാളം പുതിയ വിപുലീകൃത കോളുകൾ ചേർത്തു.
• വിൻഡോസ് പ്ലാറ്റ്‌ഫോമിനായി, SRWLock മെക്കാനിസം ഉപയോഗിച്ചുള്ള ത്രെഡ് സിൻക്രൊണൈസേഷനുള്ള പിന്തുണ ചേർത്തിരിക്കുന്നു.
• എനേബിൾ-ട്രേസ് പാരാമീറ്റർ വഴി പ്രവർത്തനക്ഷമമാക്കിയ ഒരു പുതിയ ട്രെയ്‌സിംഗ് API ചേർത്തു.
• EVP_PKEY_public_check(), EVP_PKEY_param_check() ഫംഗ്‌ഷനുകളിൽ പിന്തുണയ്‌ക്കുന്ന കീകളുടെ ശ്രേണി വിപുലീകരിച്ചു: RSA, DSA, ED25519, X25519, ED448, X448.
• RAND_DRBG സബ്സിസ്റ്റം നീക്കംചെയ്‌തു, പകരം EVP_RAND API. FIPS_mode(), FIPS_mode_set() ഫംഗ്‌ഷനുകൾ നീക്കം ചെയ്‌തു.
• API-യുടെ ഒരു പ്രധാന ഭാഗം കാലഹരണപ്പെട്ടതാണ് - പ്രോജക്റ്റ് കോഡിൽ കാലഹരണപ്പെട്ട കോളുകൾ ഉപയോഗിക്കുന്നത് സമാഹരിക്കുന്ന സമയത്ത് മുന്നറിയിപ്പുകൾക്ക് കാരണമാകും. അൽഗോരിതങ്ങളുടെ ചില നിർവ്വഹണങ്ങളുമായി ബന്ധിപ്പിച്ചിട്ടുള്ള ലോ-ലെവൽ API-കൾ ഉൾപ്പെടെ (ഉദാഹരണത്തിന്, AES_set_encrypt_key, AES_encrypt) കാലഹരണപ്പെട്ടതായി ഔദ്യോഗികമായി പ്രഖ്യാപിച്ചു. OpenSSL 3.0.0-ലെ ഔദ്യോഗിക പിന്തുണ ഇപ്പോൾ വ്യക്തിഗത അൽഗോരിതം തരങ്ങളിൽ നിന്ന് സംഗ്രഹിച്ച ഉയർന്ന തലത്തിലുള്ള EVP API-കൾക്ക് മാത്രമേ നൽകുന്നുള്ളൂ (ഉദാഹരണത്തിന്, EVP_EncryptInit_ex, EVP_EncryptInit_ex, EVP_EncryptUpdate, EVP_EncryptFinal ഫംഗ്‌ഷനുകൾ എന്നിവ ഉൾപ്പെടുന്നു). അവസാനിപ്പിച്ച API-കൾ അടുത്ത പ്രധാന റിലീസുകളിലൊന്നിൽ നീക്കം ചെയ്യപ്പെടും. EVP API വഴി ലഭ്യമാകുന്ന MD2, DES എന്നിവ പോലുള്ള ലെഗസി അൽഗോരിതങ്ങൾ നടപ്പിലാക്കുന്നത് ഒരു പ്രത്യേക "ലെഗസി" മൊഡ്യൂളിലേക്ക് മാറ്റി, അത് ഡിഫോൾട്ടായി പ്രവർത്തനരഹിതമാണ്.
• ഡോക്യുമെന്റേഷനും ടെസ്റ്റ് സ്യൂട്ടും ഗണ്യമായി വിപുലീകരിച്ചു. ബ്രാഞ്ച് 1.1.1 നെ അപേക്ഷിച്ച്, ഡോക്യുമെന്റേഷന്റെ അളവ് 94% വർദ്ധിച്ചു, ടെസ്റ്റ് സ്യൂട്ട് കോഡിന്റെ വലുപ്പം 54% വർദ്ധിച്ചു.

അവലംബം: opennet.ru