Utgivningen av det kompakta kryptografiska biblioteket wolfSSL 5.1.0, optimerat för användning på inbäddade enheter med begränsade processor- och minnesresurser, såsom Internet of Things-enheter, smarta hemsystem, informationssystem för fordon, routrar och mobiltelefoner, har förberetts. Koden är skriven på C-språk och distribueras under GPLv2-licensen.
Biblioteket tillhandahåller högpresterande implementeringar av moderna kryptografiska algoritmer, inklusive ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 och DTLS 1.2, som enligt utvecklarna är 20 gånger mer kompakta än implementeringar från OpenSSL. Den tillhandahåller både ett eget förenklat API och ett lager för kompatibilitet med OpenSSL API. Det finns stöd för OCSP (Online Certificate Status Protocol) och CRL (Certificate Revocation List) för kontroll av certifikatåterkallelser.
De viktigaste innovationerna av wolfSSL 5.1.0:
- Tillagt plattformsstöd: NXP SE050 (med Curve25519-stöd) och Renesas RA6M4. För Renesas RX65N/RX72N har stöd för TSIP 1.14 (Trusted Secure IP) lagts till.
- Lade till möjligheten att använda post-kvantkryptografialgoritmer i porten för Apache http-servern. För TLS 1.3 har NIST round 3 FALCON digital signaturschema implementerats. Lade till tester av cURL kompilerade från wolfSSL i läget att använda kryptoalgoritmer, resistenta mot urval på en kvantdator.
- För att säkerställa kompatibilitet med andra bibliotek och applikationer har stöd för NGINX 1.21.4 och Apache httpd 2.4.51 lagts till i lagret.
- Lade till stöd för flaggan SSL_OP_NO_TLSv1_2 och funktionerna SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_clear_mode, SSL_valueF_cm SSL_valueF_cm _ear till koden för OpenSSL-kompatibilitet ly_data.
- Lade till möjligheten att registrera en återuppringningsfunktion för att ersätta den inbyggda implementeringen av AES-CCM-algoritmen.
- Lade till makrot WOLFSSL_CUSTOM_OID för att generera anpassade OID för CSR (begäran om certifikatsignering).
- Tillagt stöd för deterministiska ECC-signaturer, aktiverat av makrot FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Lade till nya funktioner wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert och wc_FreeDecodedCert.
- Två sårbarheter som klassats som låg allvarliga har lösts. Den första sårbarheten tillåter en DoS-attack på en klientapplikation under en MITM-attack på en TLS 1.2-anslutning. Den andra sårbarheten relaterar till möjligheten att få kontroll över återupptagandet av en klientsession vid användning av en wolfSSL-baserad proxy eller anslutningar som inte kontrollerar hela förtroendekedjan i servercertifikatet.
Källa: opennet.ru