🥇 OpenSSL 3.0.0 क्रिप्टोग्राफिक लायब्ररीचे प्रकाशन

तीन वर्षांच्या विकासानंतर आणि 19 चाचणी प्रकाशनानंतर, OpenSSL 3.0.0 लायब्ररी SSL/TLS प्रोटोकॉल आणि विविध एन्क्रिप्शन अल्गोरिदमच्या अंमलबजावणीसह रिलीझ करण्यात आली. नवीन शाखेत API आणि ABI स्तरावरील बॅकवर्ड कंपॅटिबिलिटी खंडित करणारे बदल समाविष्ट आहेत, परंतु OpenSSL 1.1.1 वरून स्थलांतरित करण्यासाठी पुनर्बांधणी आवश्यक असलेल्या बहुतेक ऍप्लिकेशन्सच्या ऑपरेशनवर बदलांचा परिणाम होणार नाही. OpenSSL 1.1.1 ची मागील शाखा सप्टेंबर 2023 पर्यंत समर्थित असेल.

आवृत्ती क्रमांकामध्ये महत्त्वपूर्ण बदल पारंपारिक “Major.Minor.Patch” क्रमांकाच्या संक्रमणामुळे झाला आहे. आतापासून, आवृत्ती क्रमांकातील पहिला अंक (मेजर) केवळ API/ABI स्तरावर सुसंगतता खंडित झाल्यास बदलेल आणि API/ABI न बदलता कार्यक्षमता वाढवल्यावर दुसरा (मायनर) बदलेल. सुधारात्मक अद्यतने तिसऱ्या अंकात (पॅच) बदलासह वितरित केली जातील. 3.0.0 नंतर लगेचच 1.1.1 ही संख्या OpenSSL साठी सध्या विकसित होत असलेल्या FIPS मॉड्यूलसह ओव्हरलॅप टाळण्यासाठी निवडली गेली, ज्यासाठी 2.x क्रमांकन वापरले होते.

प्रकल्पासाठी दुसरा महत्त्वाचा बदल म्हणजे दुहेरी परवाना (OpenSSL आणि SSLeay) पासून Apache 2.0 लायसन्समध्ये संक्रमण. पूर्वीचा मालकी हक्काचा OpenSSL परवाना परंपरागत Apache 1.0 लायसन्सच्या मजकुरावर आधारित होता आणि OpenSSL लायब्ररी वापरताना विपणन सामग्रीमध्ये OpenSSL चा स्पष्ट उल्लेख आवश्यक होता, तसेच OpenSSL उत्पादनाचा भाग म्हणून प्रदान केले असल्यास विशेष सूचना. या आवश्यकतांमुळे जुना परवाना GPL शी विसंगत झाला, GPL-परवानाधारक प्रकल्पांमध्ये OpenSSL वापरणे कठीण झाले. या विसंगततेवर मात करण्यासाठी, GPL प्रकल्पांना विशिष्ट परवाना करार वापरण्यास भाग पाडले गेले ज्यामध्ये GPL चा मुख्य मजकूर एका कलमासह पूरक होता ज्याने अनुप्रयोगाला OpenSSL लायब्ररीशी जोडण्याची स्पष्ट परवानगी दिली होती आणि GPL च्या आवश्यकता पूर्ण केल्या नाहीत असे नमूद केले होते. OpenSSL सह लिंक करण्यासाठी अर्ज करा.

OpenSSL 1.1.1 शाखेच्या तुलनेत, OpenSSL 3.0.0 ने 7500 विकासकांनी योगदान दिलेले 350 पेक्षा जास्त बदल जोडले. OpenSSL 3.0.0 चे मुख्य नवकल्पना:

FIPS 140-2 सुरक्षा मानकांचे पालन करणार्‍या क्रिप्टोग्राफिक अल्गोरिदमच्या अंमलबजावणीसह एक नवीन FIPS मॉड्यूल प्रस्तावित केले गेले आहे (मॉड्यूलसाठी प्रमाणन प्रक्रिया या महिन्यात सुरू होणार आहे आणि FIPS 140-2 प्रमाणपत्र पुढील वर्षी अपेक्षित आहे). नवीन मॉड्यूल वापरणे खूप सोपे आहे आणि ते अनेक ऍप्लिकेशन्सशी कनेक्ट करणे कॉन्फिगरेशन फाइल बदलण्यापेक्षा अधिक कठीण होणार नाही. डीफॉल्टनुसार, FIPS मॉड्यूल अक्षम केले आहे आणि सक्षम करण्यासाठी सक्षम-फिप्स पर्याय आवश्यक आहे.
libcrypto प्लगेबल प्रदात्याची संकल्पना लागू करते, ज्याने इंजिनची संकल्पना बदलली (ENGINE API नापसंत केले गेले आहे). प्रदात्यांच्या मदतीने, तुम्ही एनक्रिप्शन, डिक्रिप्शन, की जनरेशन, MAC गणना, डिजिटल स्वाक्षरीची निर्मिती आणि पडताळणी यासारख्या ऑपरेशन्ससाठी अल्गोरिदमची स्वतःची अंमलबजावणी जोडू शकता. नवीन कनेक्ट करणे आणि आधीच समर्थित अल्गोरिदमची पर्यायी अंमलबजावणी तयार करणे दोन्ही शक्य आहे (डीफॉल्टनुसार, OpenSSL मध्ये तयार केलेला प्रदाता आता प्रत्येक अल्गोरिदमसाठी वापरला जातो).
प्रमाणपत्र व्यवस्थापन प्रोटोकॉल (RFC 4210) साठी समर्थन जोडले, ज्याचा वापर CA सर्व्हरकडून प्रमाणपत्रांची विनंती करण्यासाठी, प्रमाणपत्रे अद्यतनित करण्यासाठी आणि प्रमाणपत्रे रद्द करण्यासाठी केला जाऊ शकतो. CMP सह कार्य नवीन openssl-cmp युटिलिटी वापरून केले जाते, जे CRMF फॉरमॅट (RFC 4211) ला देखील समर्थन देते आणि HTTP/HTTPS (RFC 6712) द्वारे विनंत्या पाठवते.
HTTP आणि HTTPS प्रोटोकॉलसाठी पूर्ण वाढ झालेला क्लायंट लागू केला गेला आहे, GET आणि POST पद्धती, विनंती पुनर्निर्देशन, प्रॉक्सी, ASN.1 एन्कोडिंग आणि कालबाह्य प्रक्रियेद्वारे कार्य करण्यास समर्थन देते.
नवीन EVP_MAC (मेसेज ऑथेंटिकेशन कोड API) मॉक इन्सर्टची नवीन अंमलबजावणी जोडणे सोपे करण्यासाठी जोडले गेले आहे.
की व्युत्पन्न करण्यासाठी एक नवीन सॉफ्टवेअर इंटरफेस प्रस्तावित आहे - EVP_KDF (की डेरिव्हेशन फंक्शन API), जे KDF आणि PRF च्या नवीन अंमलबजावणीची जोडणी सुलभ करते. जुने EVP_PKEY API, ज्याद्वारे स्क्रिप्ट, TLS1 PRF आणि HKDF अल्गोरिदम उपलब्ध होते, EVP_KDF आणि EVP_MAC API च्या शीर्षस्थानी लागू केलेल्या लेयरच्या स्वरूपात पुन्हा डिझाइन केले गेले आहे.
TLS प्रोटोकॉलची अंमलबजावणी ऑपरेशन्स वेगवान करण्यासाठी Linux कर्नलमध्ये तयार केलेले TLS क्लायंट आणि सर्व्हर वापरण्याची क्षमता प्रदान करते. लिनक्स कर्नलद्वारे प्रदान केलेली TLS अंमलबजावणी सक्षम करण्यासाठी, तुम्ही "SSL_OP_ENABLE_KTLS" पर्याय किंवा "enable-ktls" सेटिंग सक्षम करणे आवश्यक आहे.
नवीन अल्गोरिदमसाठी समर्थन जोडले:
- की जनरेशन अल्गोरिदम (KDF) म्हणजे “सिंगल स्टेप” आणि “SSH”.
- सिम्युलेटेड इन्सर्शन अल्गोरिदम (MAC) म्हणजे “GMAC” आणि “KMAC”.
- RSA Key Encapsulation Algorithm (KEM) "RSASVE".
- एन्क्रिप्शन अल्गोरिदम "AES-SIV" (RFC-8452).
- की एन्क्रिप्ट करण्यासाठी AES अल्गोरिदम वापरून व्यस्त सायफरसाठी समर्थनासह EVP API मध्ये कॉल जोडले (की रॅप): “AES-128-WRAP-INV”, “AES-192-WRAP-INV”, “AES-256-WRAP- INV” , "AES-128-WRAP-PAD-INV", "AES-192-WRAP-PAD-INV" आणि "AES-256-WRAP-PAD-INV".
- EVP API मध्ये सिफरटेक्स्ट बोरोइंग (CTS) अल्गोरिदमसाठी समर्थन जोडले: “AES-128-CBC-CTS”, “AES-192-CBC-CTS”, “AES-256-CBC-CTS”, “कॅमेलिया-128-CBC -CTS"", "CAMELLIA-192-CBC-CTS" आणि "CAMELLIA-256-CBC-CTS".
- CAdES-BES डिजिटल स्वाक्षरी (RFC 5126) साठी समर्थन जोडले.
- AES_GCM AES GCM मोड वापरून प्रमाणीकृत आणि कूटबद्ध संदेशांचे एन्क्रिप्शन आणि डिक्रिप्शन सक्षम करण्यासाठी AuthEnvelopedData (RFC 5083) पॅरामीटर लागू करते.
PKCS7_get_octet_string आणि PKCS7_type_is_other फंक्शन्स सार्वजनिक API मध्ये जोडली गेली आहेत.
PKCS#12 API PKCS12_create() फंक्शनमध्ये वापरलेल्या डीफॉल्ट अल्गोरिदमला PBKDF2 आणि AES सह पुनर्स्थित करते आणि MAC ची गणना करण्यासाठी SHA-256 अल्गोरिदम वापरते. मागील वर्तन पुनर्संचयित करण्यासाठी, "-legacy" पर्याय प्रदान केला आहे. PKCS12_*_ex, PKCS5__*_ex आणि PKCS8_*_ex वर मोठ्या संख्येने नवीन विस्तारित कॉल जोडले, जसे की PKCS12_add_key_ex().PKCS12_create_ex() आणि PKCS12_decrypt_skey_ex().
Windows प्लॅटफॉर्मसाठी, SRWLock यंत्रणा वापरून थ्रेड सिंक्रोनाइझेशनसाठी समर्थन जोडले गेले आहे.
एक नवीन ट्रेसिंग API जोडले, सक्षम-ट्रेस पॅरामीटरद्वारे सक्षम केले.
EVP_PKEY_public_check() आणि EVP_PKEY_param_check() फंक्शन्समध्‍ये समर्थित की ची श्रेणी वाढवली गेली आहे: RSA, DSA, ED25519, X25519, ED448 आणि X448.
RAND_DRBG उपप्रणाली काढून टाकली आहे, EVP_RAND API ने बदलली आहे. FIPS_mode() आणि FIPS_mode_set() फंक्शन्स काढली गेली आहेत.
API चा एक महत्त्वपूर्ण भाग अप्रचलित रेंडर केला गेला आहे - प्रोजेक्ट कोडमध्ये अप्रचलित कॉल वापरल्याने संकलनादरम्यान चेतावणी दिली जाईल. अल्गोरिदमच्या काही अंमलबजावणीशी जोडलेले निम्न-स्तरीय API समाविष्ट करणे (उदाहरणार्थ, AES_set_encrypt_key आणि AES_encrypt) अधिकृतपणे अप्रचलित घोषित केले गेले आहे. OpenSSL 3.0.0 मधील अधिकृत समर्थन आता केवळ उच्च-स्तरीय EVP API साठी प्रदान केले जाते जे वैयक्तिक अल्गोरिदम प्रकारांमधून अ‍ॅब्स्ट्रॅक्ट केले जातात (या API मध्ये, उदाहरणार्थ, EVP_EncryptInit_ex, EVP_EncryptUpdate आणि EVP_EncryptFinal फंक्शन्स समाविष्ट आहेत). कालबाह्य APIs पुढील प्रमुख प्रकाशनांपैकी एकामध्ये काढले जातील. EVP API द्वारे उपलब्ध असलेल्या MD2 आणि DES सारख्या लीगेसी अल्गोरिदमची अंमलबजावणी वेगळ्या "लेगेसी" मॉड्यूलमध्ये हलवली गेली आहे, जी डीफॉल्टनुसार अक्षम केली जाते.
दस्तऐवजीकरण आणि चाचणी संच लक्षणीयरित्या विस्तारित केले गेले आहेत. शाखा 1.1.1 च्या तुलनेत, दस्तऐवजीकरणाचे प्रमाण 94% वाढले आहे आणि चाचणी संच कोडचा आकार 54% वाढला आहे.

स्त्रोत: opennet.ru

OpenSSL 3.0.0 क्रिप्टोग्राफिक लायब्ररीचे प्रकाशन

एक टिप्पणी जोडा Отменить ответ