Nach anderthalb Jahren Entwicklungszeit wurde die OpenSSL 3.1.0-Bibliothek mit der Implementierung der SSL-/TLS-Protokolle und verschiedener Verschlüsselungsalgorithmen veröffentlicht. Die Unterstützung für OpenSSL 3.1 wird bis März 2025 fortgesetzt. Die Unterstützung für ältere OpenSSL 3.0- und 1.1.1-Zweige wird bis September 2026 bzw. September 2023 fortgesetzt. Der Projektcode wird unter der Apache 2.0-Lizenz verteilt.
Wichtigste Neuerungen von OpenSSL 3.1.0:
- Das FIPS-Modul implementiert Unterstützung für kryptografische Algorithmen, die dem Sicherheitsstandard FIPS 140-3 entsprechen. Der Modulzertifizierungsprozess zur Erlangung der FIPS 140-3-Konformitätszertifizierung hat begonnen. Bis die Zertifizierung nach dem Upgrade von OpenSSL auf den 3.1-Zweig abgeschlossen ist, können Benutzer weiterhin ein für FIPS 140-2 zertifiziertes FIPS-Modul verwenden. Zu den Änderungen in der neuen Version des Moduls gehört die Einbeziehung der Algorithmen Triple DES ECB, Triple DES CBC und EdDSA, die noch nicht auf Einhaltung der FIPS-Anforderungen getestet wurden. Außerdem wurden in der neuen Version Optimierungen zur Verbesserung der Leistung vorgenommen und dazu übergegangen, interne Tests bei jeder Modullast und nicht erst nach der Installation durchzuführen.
- Überarbeiteter OSSL_LIB_CTX-Code. Die neue Option ist frei von unnötigen Sperren und ermöglicht Ihnen eine höhere Leistung.
- Verbesserte Leistung der Encoder- und Decoder-Frameworks.
- Leistungsoptimierung im Zusammenhang mit der Verwendung interner Strukturen (Hash-Tabellen) und Caching durchgeführt.
- Verbesserte Geschwindigkeit beim Generieren von RSA-Schlüsseln im FIPS-Modus.
- Die Algorithmen AES-GCM, ChaCha20, SM3, SM4 und SM4-GCM verfügen über spezifische Assembler-Optimierungen für verschiedene Prozessorarchitekturen. Beispielsweise wird AES-GCM-Code mithilfe der AVX512-Anweisungen vAES und vPCLMULQDQ beschleunigt.
- Unterstützung für den KMAC-Algorithmus (KECCAK Message Authentication Code) wurde zu KBKDF (Key Based Key Derivation Function) hinzugefügt.
- Verschiedene „OBJ_*“-Funktionen wurden für die Verwendung in Multithread-Code angepasst.
- Es wurde die Möglichkeit hinzugefügt, den RNDR-Befehl und die RNDRRS-Register zu verwenden, die in Prozessoren verfügbar sind, die auf der AArch64-Architektur basieren, um Pseudozufallszahlen zu generieren.
- Die Funktionen OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio und OPENSSL_LH_node_usage_stats_bio sind veraltet. Veraltetes DEFINE_LHASH_OF-Makro.
Source: opennet.ru