ProHoster > Blog > internetové zprávy > Vydání kryptografické knihovny OpenSSL 3.1.0

Vydání kryptografické knihovny OpenSSL 3.1.0

Po roce a půl vývoje byla vydána knihovna OpenSSL 3.1.0 s implementací protokolů SSL / TLS a různých šifrovacích algoritmů. Podpora pro OpenSSL 3.1 bude pokračovat do března 2025. Podpora starších větví OpenSSL 3.0 a 1.1.1 bude pokračovat do září 2026, respektive září 2023. Kód projektu je distribuován pod licencí Apache 2.0.

Hlavní inovace OpenSSL 3.1.0:

  • Modul FIPS implementuje podporu pro kryptografické algoritmy, které splňují bezpečnostní standard FIPS 140-3. Proces certifikace modulu byl zahájen pro získání certifikace shody FIPS 140-3. Dokud nebude certifikace po upgradu OpenSSL na větev 3.1 dokončena, mohou uživatelé nadále používat modul FIPS certifikovaný pro FIPS 140-2. Ze změn v nové verzi modulu je zaznamenáno zahrnutí algoritmů Triple DES ECB, Triple DES CBC a EdDSA, které dosud nebyly testovány na shodu s požadavky FIPS. Také v nové verzi byly provedeny optimalizace pro zlepšení výkonu a byl proveden přechod na spouštění interních testů s každým zatížením modulu, a to nejen po instalaci.
  • Přepracovaný kód OSSL_LIB_CTX. Nová možnost je bez zbytečných zámků a umožňuje dosáhnout vyššího výkonu.
  • Vylepšený výkon rámců kodéru a dekodéru.
  • Provedena optimalizace výkonu související s využitím vnitřních struktur (hashovacích tabulek) a cachování.
  • Vylepšená rychlost generování RSA klíčů v režimu FIPS.
  • Algoritmy AES-GCM, ChaCha20, SM3, SM4 a SM4-GCM mají specifické optimalizace assembleru pro různé architektury procesorů. Například kód AES-GCM je akcelerován pomocí instrukcí AVX512 vAES a vPCLMULQDQ.
  • Do KBKDF (Key Based Key Derivation Function) byla přidána podpora pro algoritmus KMAC (KECCAK Message Authentication Code).
  • Různé funkce "OBJ_*" byly přizpůsobeny pro použití ve vícevláknovém kódu.
  • Přidána možnost používat instrukci RNDR a registry RNDRRS dostupné v procesorech založených na architektuře AArch64 pro generování pseudonáhodných čísel.
  • Funkce OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio a OPENSSL_LH_node_usage_stats_bio byly zastaralé. Zastaralé makro DEFINE_LHASH_OF.

Zdroj: opennet.ru

Přidat komentář