wolfCryptはOpenSSLのEngineとして動作します

多くの方がご存知のように、OpenSSL プロジェクトの FIPS 対応は進んでおらず、2020 年 10 月の時点で、FIPS 140 認証を取得済みのものがありません。OpenSSL としてはOpenSSL 3.0 で FIPS 検証対応を立て直す計画を立てていましたが、プロジェクトに大幅な遅延が発生し、その間にFIPS 140-2 のテストのほうが 2021 年 9 月に終了する予定となった為、OpenSSL は結局 FIPS 140-3 標準に注力することを決定しました。

これでは、現在のバージョンのOpenSSL ユーザーは、永遠にサポートが保証されているパッケージを使用できないことになります。これは、セキュリティに依存する企業にとって大きな問題です。

この事態解消の一つの解決策として、wolfSSL は FIPS 認定の暗号モジュール (wolfCrypt) を OpenSSL エンジンとして使用できるようにwolfEngineライブラリとして提供します。

  • OpenSSL ユーザーは、サポートされている FIPS ソリューションを入手でき、パッケージは 24 時間年中無休で利用できます。
  • 新しい wolfCrypt FIPS ソリューションは、TLS 1.3 で使用されるアルゴリズムをサポートしています。つまり、OpenSSL ベースのプロジェクトは TLS 1.3 をサポートできます。
  • 新しい wolfCrypt ソリューションは、ネイティブの wolfCrypt によって提供される完全なハードウェア暗号化をサポートしているため、プロジェクトでハードウェア暗号化をサポートできます。
  • BoringSSL などの OpenSSL 派生の 1 つを使用している場合も、サポートも可能です。

wolfEngine は、wolfSSL (libwolfssl) および OpenSSL にリンクする独立したスタンドアロン ライブラリとして構造化されています。 wolfEngine は、wolfCrypt ネイティブ API を内部的にラップする OpenSSL エンジンの実装を実装および公開します。アルゴリズムのサポートは、wolfCrypt FIPS 140-2 証明書 #3389 にリストされているものと一致します。

wolfEngine は、デフォルトで libwolfengine と呼ばれる共有ライブラリとしてコンパイルされます。これは、コンフィグレーションファイルを介してアプリケーションまたは OpenSSL によって実行時に動的に登録できます。 wolfEngine は、静的ビルドでコンパイルされたときにアプリケーションがエンジンをリンクするためのエントリ ポイントも提供します。

OpenSSL 用の現在の wolfEngineは、OpenSSL 1.0.2h および 1.1.1b を使用して Linux 上で OpenSSL アプリ (s_client、s_server など) およびいくつかの一般的なオープン ソース パッケージ (cURL、stunnel、nginx、OpenLDAP、OpenSSH など) 内でテストされています。

ご質問は、info@wolfssl.jpまでお問い合わせください。テクニカルサポートについては、support@wolfssl.comにお問い合わせください。

原文:https://www.wolfssl.com/wolfcrypt-engine-openssl-4/