备注:SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议 ”。他是网景(Netscape)公司提出的基于 WEB 应用的安全协议。SSL协议则是指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
OpenSSL 3.0历经三年的开发,参考了350多个不同作者贡献的7500多条建议后,终于发布了一款新的FIPS模块。目前就是等待年底通过FIPS 140-2 验证的阶段了。与此同时,文档目前也在进行改进,并将许可证变更为了Apache 2.0。
其实,早在2014年的时候,OpenSSL的信誉因Hearbleed安全漏洞而受到过严重打击,该漏洞允许攻击者窃取受SSL/TLS(TLS 安全传输层协议)互联网安全通信协议所保护的大量加密信息。这个漏洞是在2012年被发现的,花了将近两年的时间才修复完成。不过,虽然该漏洞得到了修复,许多项目还是转而使用其他SSL库,如LibreSSL、WolfSSL或mbedTLS。
不过,比较幸运的是这个项目的开发一直都很活跃,此次的OpenSSL 3.0也接替了2018年9月发布的OpenSSL 1.1.1。
此次新版本最大的变化之一是对供应商概念的支持,OpenSSL 3.0标配了5个不同的标准供应商,分别如下:
- 默认供应商- 实施一组默认算法
- FIPS供应商 – 实施一组经过FIPS验证的算法,包括以下支持服务:
- POST:开机自检
- KAT:已知结果测试
- 完整性检查
- 低级实施(加密基元)
- 引擎供应商– 一个shim库,允许现有引擎在通过Core调用时工作
- 旧有供应商– 提供旧有算法的实施,算法将通过EVP级别的API公开
- 第三方供应商
对于FIPS 140-2标准方面,首先,FIPS 140-2标准定义了加密模块的安全要求。另外,根据NIST网站提供的信息,最后一次FIPS 140-2标准测试将会在2021年9月22日之前截止,在此之后执行的就是FIPS 140-3标准认证了。因此,我们可以知道离OpenSSL 3.0最后发布期限的时间已经不多了,开发人员预计认证证书可能要到明年才能交付。
OpenSSL的公告还表示,自OpenSSL 1.1.1以来,他们的文档得到了大量改进,数量也增加了94%。其中一个例子就是OpenSSL 3.0.0的设计文档,它详细地描述了整个架构和库的特性。
其实,OpenSSL 1.1.1 或更早版本发布时是带有OpenSSL和SSLeay双重许可证的,但该项目已经在2017年宣布变更到标准许可证 Apache 2.0,这就意味着该项目可用于商业和非商业目的了。较早期的许可证也是这种情况,但据说这种方式是为了鼓励在更多开源项目中使用OpenSSL,因为Apache 2.0 许可证在软件行业中比较被广泛使用。
你们可以下载源代码并将其编辑到自己的代码中,但请注意,由于发布的主要版本是OpenSSL 3.0,它并不完全兼容以前的 OpenSSL 1.1.1 版本。不过,开发人员也表示大多数应用程序仍然还是可以保持不变,只需重新编译就可以了。
本文消息来源于Phoronix。
文章翻译者:Rita Wang,CNX中文站翻译人员,文字功底扎实,将科技文献以通俗易懂的形式呈现给读者,对开源硬件、AI、IoT等领域多有涉猎。