OpenSSL 3.0 주요 변경 사항 ( OpenSSL 1.1.1 과 비교 )

OpenSSL 은 0.9.xx 에서 그리고 1.1.1x 버전에서 3.0 버전(출시일: 2021-09-07) 으로 나왔다.
현재 3.0 버전에서는 FIPS모듈의 사용과 새로운 기능을 활용해야 하는 경우 3.0 으로 변경을 해야 한다.
글을 쓰는 이 시점에는 3.1 버전 (출시일: 2023-03-14) 까지 나와 있다.

그럼 주요 변경 사항에 대해 알아 보자. 이 글은 OpenSSL 3.0 위키를 참조 하였다.

1. 라이센스 변경

- 기존 openssl 은 OpenSSL 과 SSLeay 라이센스에서 Apache License v2 로 변경 되었다.
이 부분은 GPL 라이센스와의 문제를 해결하기 위해 변경 되었다.

2. FIPS 인증 모듈 포함

- Openssl 1.1.1 에서는 FIPS 모듈을 따로 패키지 되어서 배포 했지만 openssl3 에서는 FIBS 인증 모듈이 포함 되었다.
- enable-fips 옵션을 통한 FIPS 모듈을 사용 할 수 있게 되었다.

3. 저수준 API

- OpenSSL 은 높은 수준 API( EVP API )와 낮은 수준의 API 를 제공 한다. 일반적으로 EVP API는 모든 알고리즘에서 작동이 된다.
그리고 저수준 API는 특정 알고리즘 구현을 위해 사용한다.
하지만 OpenSSL 에서는 저 수준 API 에 대해서는 권장을 하지 않고 OpenSSL3.0 에서 이것을 공식화 하였다.

4. 레거시 알고리즘

- 레거시 EVP 알고리즘은 여전히 이용은 가능 하지만 Openssl 3.0 에서는 기본으로 제공하지 않는다.
하지만 레거시 프로바이드롤 통하여 사용은 가능 하다. MD2 나 DES 같은 알고리즘은 레거시 모듈로 이동 시킴

5. Engine과 "METHOD" API

Engine을 사용하는 Engine API 와 METHODS 함수에 대한에 대해 충돌 가능성등의 문제로 이 기능은 더 이상 사용하지 않고 서비스 프로바이더를 사용 하도록 변경 되었음.

6. 버전 포맷

버전 형식이 MAJOR.MINOR.PATCH 로 변경 됨.
기존에 는 버전의 마직막에 알파벳 문자를 사용하였지만 이제 더이상 알파벳은 사용하지 않음
MINOR 가 변경은 새로운 기능이 추가 됨을 의미하고 MAJOR 의 변경은 이전 버전과의 API 호환성에 대한 보장은 하지 않음

7. 추가된 새로운 기능

* 인증서 관리 프로토콜인 (CMP RFC4210)와 CRMF (RFC 4211) 프로토콜 지원 그리고 HTTP(S)를 통한 전송 기능 지원
* EVP_KDF API 즉 키 추출 기능 과 함께 API 가 제공 됨
* EVP_MAC API 증 MAC 에서 EVP 기능이 추가됨
* 리눅스 커널 TLS에 대한 지원 됨 enable-ktls 옵션을 사용 해야 함

이렇게 OpenSSL 3.0 의 주요 변경 사항이다.

개인적으로 많이 기다렸던게 CMP와 CRMF 기능이었는데 OpenSSL3 에서 추가 되어서 OpenSSL3 을 사용하게 되었다.
Openssl 1.1.1 에서 3.0으로 변경 시 대부분 코드의 변경은 없었다. 하지만 일부 변경이 필요하였다.

그리고 여기서 만드는 모든 툴들도 openssl3.0을 이용해서 만들었다.

BerEditor ( ASN.1 DER BER Viewer and Editor )

BerEditor ( ASN.1 DER BER Viewer and Editor )

CertMan ( X509 Cert, CRL Manager )

CertMan ( X509 Cert, CRL Manager )

CryptokiMan ( PKCS#11 Cryptoki Manager )

CryptokiMan ( PKCS#11 Cryptoki Manager )