Pripravené je vydanie kompaktnej kryptografickej knižnice wolfSSL 5.1.0, optimalizovanej pre použitie na vstavaných zariadeniach s obmedzenými procesorovými a pamäťovými zdrojmi, ako sú zariadenia internetu vecí, systémy inteligentných domácností, automobilové informačné systémy, smerovače a mobilné telefóny. Kód je napísaný v jazyku C a distribuovaný pod licenciou GPLv2.
Knižnica poskytuje vysokovýkonné implementácie moderných kryptografických algoritmov, vrátane ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 a DTLS 1.2, ktoré sú podľa vývojárov 20-krát kompaktnejšie ako implementácie z OpenSSL. Poskytuje svoje vlastné zjednodušené API a vrstvu pre kompatibilitu s OpenSSL API. Existuje podpora pre OCSP (Online Certificate Status Protocol) a CRL (Certificate Revocation List) na kontrolu zrušených certifikátov.
Hlavné inovácie wolfSSL 5.1.0:
- Pridaná podpora platformy: NXP SE050 (s podporou Curve25519) a Renesas RA6M4. Pre Renesas RX65N/RX72N bola pridaná podpora pre TSIP 1.14 (Trusted Secure IP).
- Pridaná možnosť používať post-kvantové kryptografické algoritmy v porte pre server Apache http. Pre TLS 1.3 bola implementovaná schéma digitálneho podpisu NIST round 3 FALCON. Pridané testy cURL zostavené z wolfSSL v režime používania krypto-algoritmov, odolných voči selekcii na kvantovom počítači.
- Na zabezpečenie kompatibility s inými knižnicami a aplikáciami bola do vrstvy pridaná podpora pre NGINX 1.21.4 a Apache httpd 2.4.51.
- Z dôvodu kompatibility s OpenSSL, podpora príznaku SSL_OP_NO_TLSv1_2 a funkcií SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_data_cme, SSLeread_vally_mode, SSLeearly_CONF_cm bol pridaný do kódu early_data.
- Pridaná možnosť registrácie funkcie spätného volania, ktorá nahradí vstavanú implementáciu algoritmu AES-CCM.
- Pridané makro WOLFSSL_CUSTOM_OID na generovanie vlastných OID pre CSR (žiadosť o podpis certifikátu).
- Pridaná podpora pre deterministické ECC podpisy, povolené makro FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Pridané nové funkcie wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert a wc_FreeDecodedCert.
- Dve zraniteľnosti hodnotené ako nízka závažnosť boli vyriešené. Prvá zraniteľnosť umožňuje útok DoS na klientsku aplikáciu počas útoku MITM na pripojenie TLS 1.2. Druhá zraniteľnosť sa týka možnosti získať kontrolu nad obnovením relácie klienta pri použití proxy servera alebo pripojení na báze wolfSSL, ktoré nekontrolujú celý reťazec dôvery v certifikát servera.
Zdroj: opennet.ru