A biblioteca criptográfica compacta wolfSSL 5.1.0 foi lançada, otimizada para uso em dispositivos embarcados com recursos limitados de processador e memória, como dispositivos IoT, sistemas domésticos inteligentes, sistemas de informações automotivas, roteadores e telefones celulares. O código é escrito em linguagem C e distribuído sob a licença GPLv2.
A biblioteca fornece implementações de alto desempenho de algoritmos criptográficos modernos, incluindo ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 e DTLS 1.2, que, de acordo com os desenvolvedores, são 20 vezes mais compactos que as implementações OpenSSL. Ele fornece sua própria API simplificada e uma camada para compatibilidade com a API OpenSSL. Há suporte para OCSP (Protocolo de status de certificado online) e CRL (Lista de revogação de certificado) para verificação de revogação de certificado.
Principais inovações no wolfSSL 5.1.0:
- Suporte de plataforma adicionado: NXP SE050 (com suporte Curve25519) e Renesas RA6M4. Adicionado suporte para TSIP 65 (Trusted Secure IP) para Renesas RX72N/RX1.14N.
- Adicionada a capacidade de usar algoritmos de criptografia pós-quântica na porta para o servidor http Apache. Para TLS 1.3, o esquema de assinatura digital NIST round 3 FALCON é implementado. Adicionados testes para cURL construídos com wolfSSL no modo de aplicativo de algoritmo criptográfico, resistente à seleção em um computador quântico.
- Adicionado suporte para NGINX 1.21.4 e Apache httpd 2.4.51 para garantir a compatibilidade com outras bibliotecas e aplicativos.
- Support for the SSL_OP_NO_TLSv1_2 flag and the functions SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_CONF_cmd_value_type, SSL_read_early_data, SSL_write_early_data has been added to the code for compatibility with OpenSSL.
- Adicionada a capacidade de registrar uma função de retorno de chamada para substituir a implementação integrada do algoritmo AES-CCM.
- Adicionada a macro WOLFSSL_CUSTOM_OID para gerar OIDs personalizados para CSR (solicitação de assinatura de certificado).
- O suporte para assinaturas ECC determinísticas foi adicionado, habilitado pela macro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Adicionadas novas funções wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert e wc_FreeDecodedCert.
- Duas vulnerabilidades foram corrigidas e atribuídas a um nível de gravidade baixo. A primeira vulnerabilidade permite um ataque DoS em um aplicativo cliente durante um ataque MITM em uma conexão TLS 1.2. A segunda vulnerabilidade está relacionada à capacidade de obter controle sobre a retomada da sessão do cliente ao usar um proxy baseado em wolfSSL ou conexões que não verificam toda a cadeia de confiança em relação ao certificado do servidor.
Fonte: opennet.ru