Veröffentlichung der Krypto-Bibliothek OpenSSL 3.1.0

Nach anderthalb Jahren Entwicklung wurde die Bibliothek OpenSSL 3.1.0 mit der Implementierung der SSL/TLS-Protokolle und verschiedener Verschlüsselungsalgorithmen veröffentlicht. Die Unterstützung für OpenSSL 3.1 wird bis März 2025 gewährleistet. Die Unterstützung der vorherigen Versionen OpenSSL 3.0 und 1.1.1 wird bis September 2026 bzw. September 2023 fortgesetzt. Der Code des Projekts wird unter der Apache 2.0-Lizenz veröffentlicht.

Die wichtigsten Neuerungen in OpenSSL 3.1.0:

  • Im FIPS-Modul wurde die Unterstützung für kryptografische Algorithmen, die den Sicherheitsstandard FIPS 140-3 erfüllen, implementiert. Der Zertifizierungsprozess des Moduls zur Erlangung des Zertifikats für die Anforderungen von FIPS 140-3 hat begonnen. Bis zur Fertigstellung der Zertifizierung nach dem Update auf die Version 3.1 können Benutzer weiterhin das für FIPS 140-2 zertifizierte FIPS-Modul nutzen. Zu den Änderungen in der neuen Version des Moduls gehört die Einbeziehung von Algorithmen wie Triple DES ECB, Triple DES CBC und EdDSA, die bisher noch nicht auf die FIPS-Anforderungen getestet wurden. Zudem wurden in der neuen Version Optimierungen zur Leistungsteigerung vorgenommen und die internen Tests werden nun bei jedem Laden des Moduls anstelle nur nach der Installation durchgeführt.
  • Der Code von OSSL_LIB_CTX wurde überarbeitet. Die neue Version vermeidet überflüssige Sperrungen und ermöglicht eine höhere Leistung.
  • Die Performance der Encoder- und Decoder-Frameworks wurde verbessert.
  • Die Leistung wurde optimiert, insbesondere bei der Nutzung interner Strukturen (Hash-Tabellen) und Caching.
  • Die Geschwindigkeit der Generierung von RSA-Schlüsseln im FIPS-Modus wurde erhöht.
  • Spezifische Assembler-Optimierungen wurden für verschiedene Prozessorarchitekturen in der Implementierung der Algorithmen AES-GCM, ChaCha20, SM3, SM4 und SM4-GCM vorgenommen. Beispielsweise wurde der AES-GCM-Code durch die Verwendung von AVX512 vAES und vPCLMULQDQ-Befehlen beschleunigt.
  • Der KBKDF (Key Based Key Derivation Function) unterstützt jetzt den KMAC (KECCAK Message Authentication Code) Algorithmus.
  • Verschiedene „OBJ_*“-Funktionen wurden für die Verwendung in Multithread-Code angepasst.
  • Es wurde die Möglichkeit hinzugefügt, für die Generierung von Pseudozufallszahlen die Instruktion RNDR und die RNDRRS-Register zu nutzen, die in Prozessoren auf Basis der AArch64-Architektur verfügbar sind.
  • Die Funktionen OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio und OPENSSL_LH_node_usage_stats_bio wurden als veraltet eingestuft. Das Makro DEFINE_LHASH_OF wurde als veraltet erklärt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster