ProHoster > Blog > internet nuus > OpenSSL 3.1.0 Kriptografiese Biblioteekvrystelling

OpenSSL 3.1.0 Kriptografiese Biblioteekvrystelling

Na 'n jaar en 'n half van ontwikkeling is die OpenSSL 3.1.0-biblioteek vrygestel met die implementering van die SSL / TLS-protokolle en verskeie enkripsie-algoritmes. Ondersteuning vir OpenSSL 3.1 sal tot Maart 2025 voortduur. Ondersteuning vir ou OpenSSL 3.0- en 1.1.1-takke sal onderskeidelik tot September 2026 en September 2023 voortduur. Die projekkode word onder die Apache 2.0-lisensie versprei.

Belangrikste innovasies van OpenSSL 3.1.0:

  • Die FIPS-module implementeer ondersteuning vir kriptografiese algoritmes wat aan die FIPS 140-3-sekuriteitstandaard voldoen. Die module-sertifiseringsproses het begin om FIPS 140-3-voldoeningsertifisering te verkry. Totdat sertifisering voltooi is nadat OpenSSL na die 3.1-tak opgegradeer is, kan gebruikers voortgaan om 'n FIPS-module te gebruik wat vir FIPS 140-2 gesertifiseer is. Van die veranderinge in die nuwe weergawe van die module word kennis geneem van die insluiting van die Triple DES ECB, Triple DES CBC en EdDSA algoritmes, wat nog nie vir voldoening aan FIPS-vereistes getoets is nie. Ook in die nuwe weergawe is optimerings gemaak om werkverrigting te verbeter en 'n oorgang is gemaak na die uitvoer van interne toetse met elke modulelading, en nie net na installasie nie.
  • Herwerkte OSSL_LIB_CTX-kode. Die nuwe opsie is vry van onnodige slotte en laat jou toe om hoër werkverrigting te behaal.
  • Verbeterde werkverrigting van die enkodeerder- en dekodeerderraamwerke.
  • Prestasie-optimering uitgevoer wat verband hou met die gebruik van interne strukture (hash-tabelle) en caching.
  • Verbeterde spoed van generering van RSA-sleutels in FIPS-modus.
  • AES-GCM-, ChaCha20-, SM3-, SM4- en SM4-GCM-algoritmes het spesifieke assembler-optimalisasies vir verskillende verwerker-argitekture. Byvoorbeeld, AES-GCM-kode word versnel deur die AVX512 vAES- en vPCLMULQDQ-instruksies te gebruik.
  • Ondersteuning vir die KMAC (KECCAK Message Authentication Code) algoritme is by KBKDF (Key Based Key Derivation Function) gevoeg.
  • Verskeie "OBJ_*" funksies is aangepas vir gebruik in multi-threaded kode.
  • Bygevoeg die vermoë om die RNDR-instruksie en RNDRRS-registers wat beskikbaar is in verwerkers gebaseer op die AArch64-argitektuur te gebruik om pseudo-ewekansige getalle te genereer.
  • Die OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio en OPENSSL_LH_node_usage_stats_bio funksies is afgekeur. Vernietigde DEFINE_LHASH_OF makro.

Bron: opennet.ru

Voeg 'n opmerking