Dostępna jest nowa wersja kompaktowej biblioteki kryptograficznej wolfSSL 5.0.0, zoptymalizowanej do użytku na urządzeniach wbudowanych o ograniczonym procesorze i pamięci, takich jak urządzenia Internetu rzeczy, systemy inteligentnego domu, samochodowe systemy informacyjne, routery i telefony komórkowe. Kod napisany jest w języku C i rozpowszechniany na licencji GPLv2.
Biblioteka zapewnia wysokowydajne implementacje nowoczesnych algorytmów kryptograficznych, w tym ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 i DTLS 1.2, które według twórców są 20 razy bardziej kompaktowe niż implementacje z OpenSSL. Zapewnia zarówno własne uproszczone API, jak i warstwę zapewniającą kompatybilność z API OpenSSL. Obsługiwane są protokoły OCSP (protokół stanu certyfikatów online) i CRL (lista odwołań certyfikatów) do sprawdzania unieważnień certyfikatów.
Główne innowacje wolfSSL 5.0.0:
- Dodano obsługę platform: IoT-Safe (z obsługą TLS), SE050 (z obsługą RNG, SHA, AES, ECC i ED25519) oraz Renesas TSIP 1.13 (dla mikrokontrolerów RX72N).
- Dodano obsługę algorytmów kryptografii postkwantowej odpornych na selekcję na komputerze kwantowym: grupy KEM NIST Round 3 dla TLS 1.3 oraz hybrydowe grupy NIST ECC oparte na projekcie OQS (Open Quantum Safe, liboqs). Aby zapewnić kompatybilność, do warstwy dodano także grupy odporne na selekcję na komputerze kwantowym. Zakończono obsługę algorytmów NTRU i QSH.
- Moduł dla jądra Linux zapewnia obsługę algorytmów kryptograficznych zgodnych ze standardem bezpieczeństwa FIPS 140-3. Oddzielny produkt prezentowany jest z implementacją FIPS 140-3, którego kod jest jeszcze na etapie testowania, przeglądu i weryfikacji.
- Do modułu dla jądra Linuksa dodano warianty algorytmów RSA, ECC, DH, DSA, AES/AES-GCM, akcelerowane za pomocą instrukcji wektorowych procesora x86. Używając instrukcji wektorowych, procedury obsługi przerwań są również przyspieszane. Dodano obsługę podsystemu sprawdzania modułów przy użyciu podpisów cyfrowych. Możliwe jest zbudowanie wbudowanego silnika kryptograficznego wolfCrypt w trybie „—enable-linuxkm-pie” (niezależnym od pozycji). Moduł zapewnia obsługę jąder Linuksa 3.16, 4.4, 4.9, 5.4 i 5.10.
- Aby zapewnić kompatybilność z innymi bibliotekami i aplikacjami, do warstwy dodano obsługę libssh2, pyOpenSSL, libimobiledevice, rsyslog, OpenSSH 8.5p1 i Python 3.8.5.
- Dodano dużą część nowych interfejsów API, w tym EVP_blake2, wolfSSL_set_client_CA_list, wolfSSL_EVP_sha512_256, wc_Sha512*, EVP_shake256, SSL_CIPHER_*, SSL_SESSION_* itp.
- Naprawiono dwie luki uważane za łagodne: zawieszanie się podczas tworzenia podpisów cyfrowych DSA z określonymi parametrami i nieprawidłową weryfikację certyfikatów z wieloma alternatywnymi nazwami obiektów podczas korzystania z ograniczeń nazewnictwa.
Źródło: opennet.ru