OpenSSL 3.0 também introduz o conceito de provedores, que determinam quais algoritmos criptográficos estão disponíveis para uso
Por Adriano Frare
OpenSSL é uma biblioteca de criptografia popular que serve como base da Web criptografada, permitindo que os sites ofereçam a versão Secure Sockets Layer (SSL) do tráfego da Web, mais comumente reconhecida por seu prefixo HTTPS.
Embora o software tenha feito seu trabalho silenciosamente, ele ganhou destaque depois que uma grande falha, batizada de Heartbleed, deixou cerca de um terço dos sites vulneráveis a ataques e pode ter vazado memória dos servidores afetados.
A vulnerabilidade de 2014 – afetando a implementação do OpenSSL do Transport Layer Security (TLS) – levou a um grande esforço para corrigir os sistemas, seguido por uma grande auditoria em 2015 e a descoberta de vulnerabilidades adicionais.
O OpenSSL, que tinha apenas um único engenheiro de software em tempo integral na época da vulnerabilidade Heartbleed e recebia apenas cerca de US $ 2.000 em doações a cada ano, agora tem uma bancada mais profunda e mais financiamento.
O trabalho consistiu em três anos de trabalho por mais de 350 desenvolvedores, 17 versões alfa e mais de 7.500 commits, Matthew Caswell, um desenvolvedor em tempo integral e committer no OpenSSL Project, afirmou em uma postagem de blog anunciando o lançamento do OpenSSL 3.0 .
A OpenSSL Software Foundation lançou hoje uma versão completamente atualizada do software, OpenSSL, que lida com grande parte das comunicações criptografadas para a Internet.
A versão mais recente, OpenSSL 3.0, adiciona conformidade com os Federal Information Processing Standards (FIPS), descontinua – com um plano para remover – uma série de funções de API de baixo nível que podem causar problemas de segurança e adicionou muito mais testes ao desenvolvimento processos.
A atualização da versão principal “inclui uma série de mudanças arquitetônicas que ajudarão os desenvolvedores a reduzir a superfície de ataque, ao mesmo tempo em que retém a funcionalidade na qual eles podem depender“, diz ele, acrescentando que a suspensão das funções de API de baixo nível “desencorajará os desenvolvedores de fazer ajustes a parte interna de algoritmos criptográficos individuais e direcionando-os para APIs de ‘alto nível’ que são menos propensas a erros do desenvolvedor. “
“O projeto OpenSSL tem a sorte de ter vários engenheiros em tempo integral que trabalharam para o OpenSSL 3.0, financiado de várias maneiras“, disse ele.
“Gostaríamos de estender os agradecimentos a todas as empresas que têm contratos de suporte conosco; patrocinaram recursos específicos, como FIPS; as empresas que fornecem doações de patrocínio; e as organizações e indivíduos que doam por meio de patrocinadores do GitHub.“
O OpenSSL 3.0 também introduz o conceito de provedores, que determinam quais algoritmos criptográficos estão disponíveis para uso.
A biblioteca inicial vem com cinco provedores diferentes como padrão, que podem ser especificados no código ou por meio de arquivos de configuração, estas são apenas algumas das melhorias implementadas. Futuramente iremos abortar com mais detalhes todas elas.
Em suma, a versão do OpenSSL 3.0 recebeu inúmeras melhoras e promete continuar sendo a biblioteca de criptografia mais utilizada no mercado.
Sobre o Adriano V.L. Frare
Adriano V.L. Frare é graduado em Bacharelado em Matemática com ênfase em Processamento de Dados FSA – Centro Universitário Fundação Santo André, com curso de especialização na Universidade de Stanford na área de criptografia, detém certificações internacionais em ITIL, Ethical Hacking, LPI Linux Security e CISSP.
Nos últimos 15 anos vem desenvolvendo projetos na área de segurança da informação e certificação digital, onde trabalhou na iniciativa pública e privada.
Leia outros artigos de Adriano. Acesse aqui!
Firefox melhora privacidade do DNS através do ECH Encrypted Client Hello
Coletar de dados com privacidade
Lei Geral de Proteção de Dados – LGPD e a Criptografia Homomórfica
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.