紧凑型密码库wolfSSL 5.1.0的发布已经准备就绪,该库针对处理器和内存资源有限的嵌入式设备(例如物联网设备、智能家居系统、汽车信息系统、路由器和手机)的使用进行了优化。 该代码是用 C 语言编写的,并在 GPLv2 许可证下分发。
该库提供现代加密算法的高性能实现,包括 ChaCha20、Curve25519、NTRU、RSA、Blake2b、TLS 1.0-1.3 和 DTLS 1.2,据开发人员称,这些算法比 OpenSSL 的实现紧凑 20 倍。 它提供了自己的简化 API 和与 OpenSSL API 兼容的层。 支持 OCSP(在线证书状态协议)和 CRL(证书吊销列表)来检查证书吊销。
WolfSSL 5.1.0 的主要创新:
- 添加了平台支持:NXP SE050(支持 Curve25519)和 Renesas RA6M4。 对于 Renesas RX65N/RX72N,添加了对 TSIP 1.14(可信安全 IP)的支持。
- 添加了在 Apache http 服务器端口中使用后量子加密算法的功能。 对于 TLS 1.3,已经实施了 NIST 第三轮 FALCON 数字签名方案。 增加了对wolfSSL以加密算法方式编译的cURL的测试,抗量子计算机上的选择。
- 为了确保与其他库和应用程序的兼容性,该层添加了对 NGINX 1.21.4 和 Apache httpd 2.4.51 的支持。
- 在代码中添加了对 SSL_OP_NO_TLSv1_2 标志和函数 SSL_CTX_get_max_early_data、SSL_CTX_set_max_early_data、SSL_set_max_early_data、SSL_get_max_early_data、SSL_CTX_clear_mode、SSL_CONF_cmd_value_type、SSL_read_early_data、SSL_write 的支持,以实现 OpenSSL 兼容性_early_data。
- 添加了注册回调函数的功能,以替换 AES-CCM 算法的内置实现。
- 添加了宏 WOLFSSL_CUSTOM_OID 来生成 CSR(证书签名请求)的自定义 OID。
- 添加了对确定性 ECC 签名的支持,由 FSSL_ECDSA_DETERMINISTIC_K_VARIANT 宏启用。
- 添加了新函数 wc_GetPubKeyDerFromCert、wc_InitDecodedCert、wc_ParseCert 和 wc_FreeDecodedCert。
- 两个严重程度较低的漏洞已得到解决。 第一个漏洞允许在 TLS 1.2 连接上的 MITM 攻击期间对客户端应用程序进行 DoS 攻击。 第二个漏洞与使用基于 WolfSSL 的代理或不检查服务器证书中整个信任链的连接时获得对客户端会话恢复的控制的可能性有关。
来源: opennet.ru