Uma nova versão da biblioteca criptográfica compacta wolfSSL 5.0.0 está disponível, otimizada para uso em dispositivos embarcados com restrição de processador e memória, como dispositivos de Internet das Coisas, sistemas domésticos inteligentes, sistemas de informação automotivos, roteadores e telefones celulares. O código é escrito em linguagem C e distribuído sob a licença GPLv2.
A biblioteca fornece implementações de alto desempenho de algoritmos criptográficos modernos, incluindo ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 e DTLS 1.2, que, de acordo com os desenvolvedores, são 20 vezes mais compactos que as implementações OpenSSL. Ele fornece sua própria API simplificada e uma camada para compatibilidade com a API OpenSSL. Há suporte para OCSP (Protocolo de status de certificado online) e CRL (Lista de revogação de certificado) para verificação de revogação de certificado.
Principais inovações no wolfSSL 5.0.0:
- Adicionado suporte de plataforma: IoT-Safe (com suporte TLS), SE050 (com suporte RNG, SHA, AES, ECC e ED25519) e Renesas TSIP 1.13 (para microcontroladores RX72N).
- Adicionado suporte para algoritmos de criptografia pós-quântica que são resistentes à seleção em um computador quântico: grupos KEM da Rodada 3 do NIST para TLS 1.3 e grupos NIST ECC híbridos baseados no projeto OQS (Open Quantum Safe, liboqs). Grupos resistentes à seleção em um computador quântico também foram adicionados à camada para garantir compatibilidade. O suporte para os algoritmos NTRU e QSH foi descontinuado.
- O módulo para o kernel Linux fornece suporte para algoritmos criptográficos que atendem ao padrão de segurança FIPS 140-3. Um produto separado é apresentado com a implementação do FIPS 140-3, cujo código ainda está em fase de teste, revisão e verificação.
- Variantes dos algoritmos RSA, ECC, DH, DSA, AES/AES-GCM, acelerados usando instruções vetoriais de CPU x86, foram adicionadas ao módulo para o kernel Linux. Os manipuladores de interrupção também são acelerados usando instruções vetoriais. Adicionado suporte para um subsistema para verificação de módulos usando assinaturas digitais. É possível construir o mecanismo de criptografia wolfCrypt incorporado no modo “—enable-linuxkm-pie” (independente de posição). O módulo fornece suporte para kernels Linux 3.16, 4.4, 4.9, 5.4 e 5.10.
- Para garantir a compatibilidade com outras bibliotecas e aplicativos, o suporte para libssh2, pyOpenSSL, libimobiledevice, rsyslog, OpenSSH 8.5p1 e Python 3.8.5 foi adicionado à camada.
- Adicionada uma grande parte de novas APIs, incluindo EVP_blake2, wolfSSL_set_client_CA_list, wolfSSL_EVP_sha512_256, wc_Sha512*, EVP_shake256, SSL_CIPHER_*, SSL_SESSION_*, etc.
- Foram corrigidas duas vulnerabilidades consideradas benignas: um travamento ao criar assinaturas digitais DSA com determinados parâmetros e verificação incorreta de certificados com vários nomes alternativos de objetos ao usar restrições de nomenclatura.
Fonte: opennet.ru