Підготовлено випуск компактної криптографічної бібліотеки wolfSSL 5.1.0, оптимізованої для використання на вбудованих пристроях з обмеженими ресурсами процесора та пам'яті, таких як пристрої інтернету речей, системи розумного будинку, автомобільні інформаційні системи, маршрутизатори та мобільні телефони. Код написаний мовою Сі та поширюється під ліцензією GPLv2.
Бібліотека надає високопродуктивні реалізації сучасних криптоалгоритмів, включаючи ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 та DTLS 1.2, які за заявою розробників у 20 разів компактніші, ніж реалізації з OpenSSL. Надається як свій спрощений API, так і прошарок для сумісності з API OpenSSL. Є підтримка OCSP (Online Certificate Status Protocol) та CRL (Certificate Revocation List) для перевірки відкликання сертифікатів.
Основні нововведення wolfSSL 5.1.0:
- Додана підтримка платформ: NXP SE050 (з підтримкою Curve25519) та Renesas RA6M4. Для Renesas RX65N/RX72N додано підтримку TSIP 1.14 (Trusted Secure IP).
- Додано можливість використання алгоритмів постквантової криптографії в порту для http-сервера Apache. Для TLS 1.3 реалізовано схему цифрових підписів NIST round 3 FALCON. Додані тести cURL, зібраного з wolfSSL у режимі застосування криптоалгортимів, стійкий до підбору на квантовому комп'ютері.
- У прошарок для забезпечення сумісності з іншими бібліотеками та програмами додано підтримку NGINX 1.21.4 та Apache httpd 2.4.51.
- У код для сумісності з OpenSSL додана підтримка прапора SSL_OP_NO_TLSv1_2 та функцій SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_cle early_data, SSL_write_early_data.
- Додано можливість реєстрації callback-функції для заміни вбудованої реалізації алгоритму AES-CCM.
- Доданий макрос WOLFSSL_CUSTOM_OID для генерації власних OID для CSR (certificate signing request).
- Додано підтримку детермінованих підписів ECC, що включається максросом FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Додані нові функції wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert та wc_FreeDecodedCert.
- Усунено дві вразливості, яким надано низький рівень небезпеки. Перша вразливість дозволяє здійснити DoS-атаку на клієнтську програму в ході MITM-атаки на з'єднання TLS 1.2. Друга вразливість пов'язана з можливістю отримання контролю над поновленням сеансу клієнта при використанні проксі на базі wolfSSL або з'єднань, що не перевіряють весь ланцюжок довіри серверного сертифіката.
Джерело: opennet.ru