De release van de compacte cryptografische bibliotheek wolfSSL 5.1.0, geoptimaliseerd voor gebruik op embedded apparaten met beperkte processor- en geheugenbronnen, zoals Internet of Things-apparaten, smart home-systemen, auto-informatiesystemen, routers en mobiele telefoons, is voorbereid. De code is geschreven in C-taal en wordt gedistribueerd onder de GPLv2-licentie.
De bibliotheek biedt krachtige implementaties van moderne cryptografische algoritmen, waaronder ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 en DTLS 1.2, die volgens de ontwikkelaars 20 keer compacter zijn dan implementaties van OpenSSL. Het biedt zowel een eigen vereenvoudigde API als een laag voor compatibiliteit met de OpenSSL API. Er is ondersteuning voor OCSP (Online Certificate Status Protocol) en CRL (Certificate Revocation List) voor het controleren van certificaatintrekkingen.
Belangrijkste innovaties van wolfSSL 5.1.0:
- Platformondersteuning toegevoegd: NXP SE050 (met Curve25519-ondersteuning) en Renesas RA6M4. Voor Renesas RX65N/RX72N is ondersteuning voor TSIP 1.14 (Trusted Secure IP) toegevoegd.
- De mogelijkheid toegevoegd om post-kwantumcryptografie-algoritmen te gebruiken in de poort voor de Apache http-server. Voor TLS 1.3 is het NIST ronde 3 FALCON digitale handtekeningschema geïmplementeerd. Tests toegevoegd van cURL samengesteld uit wolfSSL in de modus van het gebruik van crypto-algoritmen, bestand tegen selectie op een kwantumcomputer.
- Om compatibiliteit met andere bibliotheken en applicaties te garanderen, is ondersteuning voor NGINX 1.21.4 en Apache httpd 2.4.51 aan de laag toegevoegd.
- Voor compatibiliteit met OpenSSL is ondersteuning voor de vlag SSL_OP_NO_TLSv1_2 en de functies SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_data SSL_write_ aan de code early_data toegevoegd.
- De mogelijkheid toegevoegd om een callback-functie te registreren ter vervanging van de ingebouwde implementatie van het AES-CCM-algoritme.
- Macro WOLFSSL_CUSTOM_OID toegevoegd om aangepaste OID's te genereren voor CSR (certificaatondertekeningsverzoek).
- Ondersteuning toegevoegd voor deterministische ECC-handtekeningen, mogelijk gemaakt door de macro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Nieuwe functies toegevoegd wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert en wc_FreeDecodedCert.
- Twee kwetsbaarheden met een lage ernst zijn opgelost. De eerste kwetsbaarheid maakt een DoS-aanval op een clientapplicatie mogelijk tijdens een MITM-aanval op een TLS 1.2-verbinding. De tweede kwetsbaarheid heeft betrekking op de mogelijkheid om controle te krijgen over de hervatting van een clientsessie bij gebruik van een op wolfSSL gebaseerde proxy of verbindingen die niet de hele vertrouwensketen in het servercertificaat controleren.
Bron: opennet.ru