Bir il yarım inkişaf etdikdən sonra SSL / TLS protokollarının və müxtəlif şifrələmə alqoritmlərinin tətbiqi ilə OpenSSL 3.1.0 kitabxanası buraxıldı. OpenSSL 3.1 üçün dəstək 2025-ci ilin mart ayına qədər davam edəcək. Köhnə OpenSSL 3.0 və 1.1.1 filiallarına dəstək müvafiq olaraq 2026-cı ilin sentyabrına və 2023-cü ilin sentyabrına qədər davam edəcək. Layihə kodu Apache 2.0 lisenziyası altında paylanır.
OpenSSL 3.1.0-ın əsas yenilikləri:
- FIPS modulu FIPS 140-3 təhlükəsizlik standartına uyğun kriptoqrafik alqoritmlər üçün dəstəyi həyata keçirir. Modul sertifikatlaşdırma prosesi FIPS 140-3 uyğunluq sertifikatını əldə etməyə başladı. OpenSSL-i 3.1 filialına təkmilləşdirdikdən sonra sertifikatlaşdırma tamamlanana qədər istifadəçilər FIPS 140-2 üçün sertifikatlaşdırılmış FIPS modulundan istifadə etməyə davam edə bilərlər. Modulun yeni versiyasında edilən dəyişikliklərdən FIPS tələblərinə uyğunluğu hələ yoxlanılmamış Triple DES ECB, Triple DES CBC və EdDSA alqoritmlərinin daxil edilməsi qeyd olunur. Həmçinin yeni versiyada performansı yaxşılaşdırmaq üçün optimallaşdırmalar aparılıb və yalnız quraşdırıldıqdan sonra deyil, hər modul yükü ilə daxili testlərin aparılmasına keçid edilib.
- Yenidən işlənmiş OSSL_LIB_CTX kodu. Yeni seçim lazımsız kilidlərdən azaddır və daha yüksək performans əldə etməyə imkan verir.
- Kodlayıcı və dekoder çərçivələrinin təkmilləşdirilmiş performansı.
- Daxili strukturların (hash cədvəlləri) istifadəsi və keşləmə ilə bağlı performans optimallaşdırılması həyata keçirilmişdir.
- FIPS rejimində RSA açarlarının yaradılması sürəti artırıldı.
- AES-GCM, ChaCha20, SM3, SM4 və SM4-GCM alqoritmləri müxtəlif prosessor arxitekturaları üçün xüsusi assembler optimallaşdırmalarına malikdir. Məsələn, AES-GCM kodu AVX512 vAES və vPCLMULQDQ təlimatlarından istifadə etməklə sürətləndirilir.
- KMAC (KECCAK Message Authentication Code) alqoritmi üçün dəstək KBKDF-ə (Açar Əsaslı Açar Alma Funksiyasına) əlavə edilmişdir.
- Müxtəlif "OBJ_*" funksiyaları çox yivli kodda istifadə üçün uyğunlaşdırılmışdır.
- Pseudo-təsadüfi nömrələr yaratmaq üçün AArch64 arxitekturasına əsaslanan prosessorlarda mövcud olan RNDR təlimatından və RNDRRS registrlərindən istifadə etmək imkanı əlavə edildi.
- OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio və OPENSSL_LH_node_usage_stats_bio funksiyaları ləğv edilib. DEFINE_LHASH_OF makro köhnəlmişdir.
Mənbə: opennet.ru