OpenSSL 3.0.0 Cryptographic Library ဖြန့်ချိမှု

ဖွံ့ဖြိုးတိုးတက်မှုသုံးနှစ်နှင့် စမ်းသပ်မှု 19 ခု ထုတ်ဝေပြီးနောက်၊ OpenSSL 3.0.0 စာကြည့်တိုက်သည် SSL/TLS ပရိုတိုကောများနှင့် အမျိုးမျိုးသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို အကောင်အထည်ဖော်ခြင်းဖြင့် ထုတ်ဝေခဲ့သည်။ ဌာနခွဲအသစ်တွင် API နှင့် ABI အဆင့်တွင် နောက်ပြန်လိုက်ဖက်ညီမှုကို ချိုးဖျက်သည့် အပြောင်းအလဲများ ပါဝင်သော်လည်း အပြောင်းအလဲများသည် OpenSSL 1.1.1 မှ ပြောင်းရွှေ့ရန် ပြန်လည်တည်ဆောက်ရန် လိုအပ်သည့် အပလီကေးရှင်းအများစု၏ လုပ်ဆောင်မှုကို ထိခိုက်မည်မဟုတ်ပါ။ OpenSSL 1.1.1 ၏ယခင်ဌာနခွဲကို စက်တင်ဘာ 2023 အထိ ပံ့ပိုးပေးပါမည်။

ဗားရှင်းနံပါတ်တွင် သိသာထင်ရှားသောပြောင်းလဲမှုသည် ရိုးရာ “Major.Minor.Patch” နံပါတ်တပ်ခြင်းသို့ ကူးပြောင်းခြင်းကြောင့်ဖြစ်သည်။ ယခုအချိန်မှစ၍၊ ဗားရှင်းနံပါတ်ရှိ ပထမဂဏန်း (Major) သည် API/ABI အဆင့်တွင် လိုက်ဖက်ညီမှု ပျက်သွားမှသာ API/ABI အဆင့်တွင် ပြောင်းလဲသွားမည်ဖြစ်ပြီး၊ လုပ်ဆောင်နိုင်စွမ်းကို API/ABI မပြောင်းလဲဘဲ ဒုတိယ (အသေးစား) သည် ပြောင်းလဲသွားမည်ဖြစ်သည်။ တတိယ ဂဏန်း (Patch) သို့ ပြောင်းလဲခြင်းဖြင့် မှန်ကန်သော အပ်ဒိတ်များကို ပေးပို့ပါမည်။ 3.0.0 ကို 1.1.1 ကိုရွေးချယ်ပြီးနောက် ချက်ချင်းဆိုသလို OpenSSL အတွက် လက်ရှိတည်ဆောက်ဆဲ FIPS မော်ဂျူးနှင့် ထပ်နေမှုများကို ရှောင်ရှားရန် 2.x နံပါတ်စဉ်ကို အသုံးပြုထားသည်။

ပရောဂျက်အတွက် ဒုတိယအရေးကြီးသောပြောင်းလဲမှုမှာ လိုင်စင်နှစ်ခု (OpenSSL နှင့် SSLeay) မှ Apache 2.0 လိုင်စင်သို့ ကူးပြောင်းခြင်းဖြစ်သည်။ ယခင်တစ်ဦးတည်းပိုင် OpenSSL လိုင်စင်သည် အမွေအနှစ် Apache 1.0 လိုင်စင်၏ စာသားပေါ်တွင် အခြေခံထားပြီး OpenSSL စာကြည့်တိုက်များကို အသုံးပြုသည့်အခါ စျေးကွက်ရှာဖွေရေးပစ္စည်းများတွင် OpenSSL ၏ ရှင်းလင်းပြတ်သားစွာဖော်ပြထားခြင်းအပြင် OpenSSL ကို ထုတ်ကုန်၏တစ်စိတ်တစ်ပိုင်းအဖြစ် ပံ့ပိုးပေးမည်ဆိုပါက အထူးသတိပေးချက်ဖြစ်သည်။ ဤသတ်မှတ်ချက်များသည် GPL လိုင်စင်ရ ပရောဂျက်များတွင် OpenSSL ကို အသုံးပြုရန် ခက်ခဲစေသည်။ ဤသဟဇာတမဖြစ်မှုကို ရရှိရန်အတွက် GPL ပရောဂျက်များသည် GPL ၏ အဓိကစာသားကို OpenSSL စာကြည့်တိုက်နှင့် ချိတ်ဆက်ရန် အတိအလင်းခွင့်ပြုထားသည့် အပိုဒ်တစ်ခုဖြင့် ဖြည့်စွက်ထားသော သီးခြားလိုင်စင်သဘောတူညီချက်များကို အသုံးပြုရန် ဖိအားပေးခံခဲ့ရပြီး GPL ၏လိုအပ်ချက်များမပါရှိကြောင်း ဖော်ပြခဲ့သည်။ OpenSSL နှင့် ချိတ်ဆက်ခြင်းအတွက် အသုံးချပါ။

OpenSSL 1.1.1 ဌာနခွဲနှင့် နှိုင်းယှဉ်ပါက၊ OpenSSL 3.0.0 သည် ဆော့ဖ်ဝဲရေးသားသူ 7500 မှ ပံ့ပိုးပေးထားသော ပြောင်းလဲမှုပေါင်း 350 ကျော်ကို ထည့်သွင်းခဲ့သည်။ OpenSSL 3.0.0 ၏ အဓိက တီထွင်ဆန်းသစ်မှုများ-

• FIPS 140-2 လုံခြုံရေးစံနှုန်းနှင့်ကိုက်ညီသော cryptographic algorithms များကိုအကောင်အထည်ဖော်ခြင်းအပါအဝင် FIPS မော်ဂျူးအသစ်အား အဆိုပြုခဲ့သည် ( module အတွက် အသိအမှတ်ပြုခြင်းလုပ်ငန်းစဉ်ကို ယခုလတွင်စတင်ရန်စီစဉ်ထားပြီး FIPS 140-2 အသိအမှတ်ပြုလက်မှတ်ကို လာမည့်နှစ်တွင်မျှော်လင့်ထားသည်)။ မော်ဂျူးအသစ်သည် အသုံးပြုရပိုမိုလွယ်ကူပြီး ၎င်းကို အပလီကေးရှင်းများစွာနှင့် ချိတ်ဆက်ခြင်းသည် configuration file ကိုပြောင်းလဲခြင်းထက် ပိုခက်ခဲမည်မဟုတ်ပါ။ ပုံမှန်အားဖြင့်၊ FIPS မော်ဂျူးကို ပိတ်ထားပြီး ဖွင့်ရန်-fips ရွေးချယ်မှုကို ဖွင့်ထားရန် လိုအပ်သည်။
• libcrypto သည် အင်ဂျင်အယူအဆကို အစားထိုးသည့် pluggable providers များ၏ သဘောတရားကို အကောင်အထည်ဖော်သည် (ENGINE API ကို ရပ်ဆိုင်းထားသည်)။ ဝန်ဆောင်မှုပေးသူများ၏အကူအညီဖြင့်၊ သင်သည် ကုဒ်ဝှက်ခြင်း၊ ကုဒ်ဝှက်ခြင်း၊ သော့ထုတ်လုပ်ခြင်း၊ MAC တွက်ချက်ခြင်း၊ ဖန်တီးခြင်းနှင့် ဒစ်ဂျစ်တယ်လက်မှတ်များကို အတည်ပြုခြင်းစသည့် လုပ်ဆောင်ချက်များအတွက် သင့်ကိုယ်ပိုင် algorithms များကို ထည့်သွင်းနိုင်သည်။ အသစ်များကို ချိတ်ဆက်ပြီး ပံ့ပိုးပေးပြီးသား algorithms ၏ အစားထိုးအကောင်အထည်ဖော်မှုများကို ဖန်တီးနိုင်သည် (ပုံမှန်အားဖြင့် OpenSSL တွင် တည်ဆောက်ထားသည့် ဝန်ဆောင်မှုပေးသူကို ယခုအခါ အယ်လဂိုရီသမ်တစ်ခုစီအတွက် အသုံးပြုထားသည်)။
• Certificate Management Protocol (RFC 4210) ကို CA ဆာဗာတစ်ခုမှ အသိအမှတ်ပြုလက်မှတ်များ တောင်းဆိုရန်၊ လက်မှတ်များကို အပ်ဒိတ်လုပ်ရန်နှင့် လက်မှတ်များကို ပြန်လည်ရုပ်သိမ်းရန် အသုံးပြုနိုင်သည့် ပံ့ပိုးမှု ထပ်လောင်းထည့်ထားပါသည်။ CMP နှင့် အလုပ်လုပ်ခြင်းသည် CRMF ဖော်မတ် (RFC 4211) နှင့် HTTP/HTTPS (RFC 6712) မှတဆင့် တောင်းဆိုချက်များကို ပေးပို့ခြင်းတို့ကို ပံ့ပိုးပေးသည့် openssl-cmp utility အသစ်ကို အသုံးပြု၍ လုပ်ဆောင်သည်။
• HTTP နှင့် HTTPS ပရိုတိုကောများအတွက် ပြည့်စုံသော client တစ်ခုကို GET နှင့် POST နည်းလမ်းများကို ပံ့ပိုးပေးခြင်း၊ ပြန်ညွှန်းခြင်းတောင်းဆိုခြင်း၊ ပရောက်စီ၊ ASN.1 ကုဒ်ကုဒ်နှင့် အချိန်ကုန်လုပ်ဆောင်ခြင်းတို့ကို ပံ့ပိုးပေးထားပါသည်။
• ပုံသဏ္ဍာန်ထည့်သွင်းမှုများ၏ အကောင်အထည်ဖော်ဆောင်ရွက်မှုအသစ်များကို ပိုမိုလွယ်ကူစေရန်အတွက် EVP_MAC (Message Authentication Code API) အသစ်ကို ထည့်သွင်းထားပါသည်။
• သော့များထုတ်လုပ်ရန်အတွက် ဆော့ဖ်ဝဲလ်အင်တာဖေ့စ်အသစ်ကို အဆိုပြုထားသည် - EVP_KDF (Key Derivation Function API)၊ ကုဒ်ဝှက်ခြင်း၊ TLS1 PRF နှင့် HKDF အယ်လဂိုရီသမ်များကိုရရှိနိုင်သောအားဖြင့် EVP_PKEY API အဟောင်းကို EVP_KDF နှင့် EVP_MAC API များ၏ထိပ်တွင်အကောင်အထည်ဖော်သည့်အလွှာပုံစံဖြင့် ပြန်လည်ဒီဇိုင်းပြုလုပ်ထားသည်။
• TLS ပရိုတိုကောကို အကောင်အထည်ဖော်ခြင်းသည် လည်ပတ်မှုများကို အရှိန်မြှင့်ရန် Linux kernel တွင် တည်ဆောက်ထားသော TLS client နှင့် ဆာဗာကို အသုံးပြုရန် စွမ်းရည်ကို ပံ့ပိုးပေးပါသည်။ Linux kernel မှပေးသော TLS အကောင်အထည်ဖော်မှုကို ဖွင့်ရန်၊ သင်သည် "SSL_OP_ENABLE_KTLS" ရွေးချယ်မှု သို့မဟုတ် "enable-ktls" ဆက်တင်ကို ဖွင့်ရပါမည်။
• အယ်လဂိုရီသမ်အသစ်အတွက် ပံ့ပိုးမှု ထပ်ထည့်သည်-
  • အဓိက မျိုးဆက် အယ်လဂိုရီသမ် (KDF) သည် "တစ်ဆင့်တည်း" နှင့် "SSH" ဖြစ်သည်။
  • သရုပ်တူထည့်သွင်းခြင်းဆိုင်ရာ အယ်လဂိုရီသမ် (MAC) သည် "GMAC" နှင့် "KMAC" တို့ဖြစ်သည်။
  • RSA Key Encapsulation Algorithm (KEM) "RSASVE"။
  • ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ် "AES-SIV" (RFC-8452)။
  • သော့များ (Key Wrap) ကို စာဝှက်ရန် AES အယ်လဂိုရီသမ်ကို အသုံးပြု၍ ပြောင်းပြန်စာဝှက်များကို ပံ့ပိုးပေးသည့် EVP API သို့ ခေါ်ဆိုမှုများ- “AES-128-WRAP-INV”၊ “AES-192-WRAP-INV”၊ “AES-256-WRAP-INV” ” , "AES-128-WRAP-PAD-INV", "AES-192-WRAP-PAD-INV" နှင့် "AES-256-WRAP-PAD-INV"။
  • EVP API သို့ ciphertext ချေးငှားခြင်း (CTS) အယ်လဂိုရီသမ်များအတွက် ပံ့ပိုးမှု ပေါင်းထည့်ထားသည်- "AES-128-CBC-CTS", "AES-192-CBC-CTS", "AES-256-CBC-CTS", "CAMELLIA-128-CBC -CTS"၊ "CAMELLIA-192-CBC-CTS" နှင့် "CAMELLIA-256-CBC-CTS"။
  • CAdES-BES ဒစ်ဂျစ်တယ်လက်မှတ်များ (RFC 5126) အတွက် ထပ်လောင်းပံ့ပိုးမှု။
  • AES_GCM သည် AES GCM မုဒ်ကို အသုံးပြု၍ စစ်မှန်ကြောင်းနှင့် စာဝှက်ထားသော မက်ဆေ့ချ်များကို ကုဒ်ဝှက်ခြင်းနှင့် ကုဒ်ဝှက်ခြင်းတို့ကို ဖွင့်ရန် AuthEnvelopedData (RFC 5083) ဘောင်ကို အကောင်အထည်ဖော်သည်။
• PKCS7_get_octet_string နှင့် PKCS7_type_is_အခြားလုပ်ဆောင်ချက်များကို အများသူငှာ API တွင် ထည့်သွင်းထားသည်။
• PKCS#12 API သည် PKCS12_create() လုပ်ဆောင်ချက်တွင် အသုံးပြုသည့် မူရင်း အယ်လဂိုရီသမ်များကို PBKDF2 နှင့် AES ဖြင့် အစားထိုးပြီး MAC တွက်ချက်ရန် SHA-256 အယ်လဂိုရီသမ်ကို အသုံးပြုသည်။ အတိတ်အပြုအမူကို ပြန်လည်ရယူရန် "-legacy" ရွေးချယ်မှုကို ပေးထားသည်။ PKCS12_add_key_ex().PKCS5_create_ex() နှင့် PKCS8_decrypt_skey_ex().
• Windows ပလပ်ဖောင်းအတွက်၊ SRWLock ယန္တရားကို အသုံးပြု၍ thread ထပ်တူပြုခြင်းအတွက် ပံ့ပိုးမှုကို ထည့်သွင်းထားသည်။
• ဖွင့်-ခြေရာခံ ကန့်သတ်ဘောင်မှတစ်ဆင့် ဖွင့်ထားသည့် ခြေရာခံ API အသစ်ကို ထည့်ထားသည်။
• EVP_PKEY_public_check() နှင့် EVP_PKEY_param_check() လုပ်ဆောင်ချက်များတွင် ပံ့ပိုးပေးထားသော သော့အကွာအဝေးကို တိုးချဲ့ထားသည်- RSA၊ DSA၊ ED25519၊ X25519၊ ED448 နှင့် X448။
• RAND_DRBG စနစ်ခွဲကို EVP_RAND API ဖြင့် အစားထိုးခဲ့သည်။ FIPS_mode() နှင့် FIPS_mode_set() လုပ်ဆောင်ချက်များကို ဖယ်ရှားလိုက်ပါပြီ။
• API ၏ အရေးပါသော အစိတ်အပိုင်းကို အသုံးမပြုတော့ကြောင်း ပြန်ဆိုထားသည် - ပရောဂျက်ကုဒ်တွင် အသုံးမပြုတော့သော ခေါ်ဆိုမှုများကို အသုံးပြုခြင်းဖြင့် စုစည်းမှုအတွင်း သတိပေးချက်များ ထွက်ပေါ်လာမည်ဖြစ်သည်။ အဆင့်နိမ့် API များအပါအဝင် အချို့သော အယ်လဂိုရီသမ်များ (ဥပမာ၊ AES_set_encrypt_key နှင့် AES_encrypt) တို့သည် အသုံးမပြုတော့ကြောင်း တရားဝင်ကြေငြာထားသည်။ OpenSSL 3.0.0 တွင်တရားဝင်ပံ့ပိုးမှုအား ယခုအခါ တစ်ဦးချင်းစီ အယ်လဂိုရီသမ်အမျိုးအစားများမှ လွဲချော်နေသော အဆင့်မြင့် EVP API များအတွက်သာ ပံ့ပိုးပေးသည် (ဤ API တွင် ဥပမာ၊ EVP_EncryptInit_ex၊ EVP_EncryptUpdate နှင့် EVP_EncryptFinal လုပ်ဆောင်ချက်များ ပါဝင်သည်)။ ကန့်ကွက်ထားသော APIs များကို လာမည့်အဓိကထုတ်ဝေမှုများအနက်မှ ဖယ်ရှားပါမည်။ EVP API မှတစ်ဆင့် ရရှိနိုင်သော MD2 နှင့် DES ကဲ့သို့သော အမွေအနှစ် အယ်လဂိုရီသမ်များ၏ အကောင်အထည်ဖော်မှုများကို မူရင်းအတိုင်း ပိတ်ထားသည့် သီးခြား "အမွေအနှစ်" မော်ဂျူးသို့ ရွှေ့ထားသည်။
• စာရွက်စာတမ်းနှင့် စမ်းသပ်မှုအစုံကို သိသိသာသာ ချဲ့ထွင်ခဲ့သည်။ ဌာနခွဲ 1.1.1 နှင့် နှိုင်းယှဉ်ပါက စာရွက်စာတမ်းများ၏ ပမာဏသည် 94% တိုးလာပြီး test suite code ၏ အရွယ်အစားသည် 54% တိုးလာသည်။

source: opennet.ru