Post jaro kaj duono de disvolviĝo, la biblioteko OpenSSL 3.1.0 estis publikigita kun la efektivigo de la SSL / TLS-protokoloj kaj diversaj ĉifradaj algoritmoj. Subteno por OpenSSL 3.1 daŭros ĝis marto 2025. Subteno por heredaj branĉoj OpenSSL 3.0 kaj 1.1.1 daŭros ĝis septembro 2026 kaj septembro 2023, respektive. La projektkodo estas distribuita sub la permesilo Apache 2.0.
Ĉefaj novigoj de OpenSSL 3.1.0:
- La modulo FIPS efektivigas subtenon por ĉifrikaj algoritmoj kiuj konformas al la sekurecnormo FIPS 140-3. La modula atestadprocezo komenciĝis akiri atestilon de konformeco FIPS 140-3. Ĝis atesto finiĝos post ĝisdatigado de OpenSSL al la branĉo 3.1, uzantoj povas daŭre uzi FIPS-modulon atestitan por FIPS 140-2. El la ŝanĝoj en la nova versio de la modulo, oni rimarkas la inkludon de la algoritmoj Triple DES ECB, Triple DES CBC kaj EdDSA, kiuj ankoraŭ ne estis provitaj por konformeco al FIPS-postuloj. Ankaŭ en la nova versio, optimumigoj estis faritaj por plibonigi rendimenton kaj transiro estis farita al rulado de internaj testoj kun ĉiu modula ŝarĝo, kaj ne nur post instalado.
- Relaborita OSSL_LIB_CTX-kodo. La nova opcio estas libera de nenecesaj seruroj kaj permesas vin atingi pli altan rendimenton.
- Plibonigita rendimento de la kadroj de kodilo kaj malĉifrilo.
- Farita agado-optimumigo rilata al la uzo de internaj strukturoj (hash-tabeloj) kaj kaŝmemoro.
- Plibonigita rapideco de generado de RSA-ŝlosiloj en FIPS-reĝimo.
- AES-GCM, ChaCha20, SM3, SM4, kaj SM4-GCM-algoritmoj havas specifajn asembleroptimumigojn por malsamaj procesoraj arkitekturoj. Ekzemple, AES-GCM-kodo estas akcelita uzante la instrukciojn AVX512 vAES kaj vPCLMULQDQ.
- Subteno por la algoritmo de KMAC (KECCAK Message Authentication Code) estis aldonita al KBKDF (Key Based Key Derivation Function).
- Diversaj "OBJ_*" funkcioj estis adaptitaj por uzo en plurfadena kodo.
- Aldonis la kapablon uzi la RNDR-instrukcion kaj RNDRRS-registrojn haveblajn en procesoroj bazitaj sur la AArch64-arkitekturo por generi pseŭdo-hazardajn nombrojn.
- La funkcioj OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio kaj OPENSSL_LH_node_usage_stats_biocadigitaj funkcioj. Malrekomendita makroo DEFINE_LHASH_OF.
fonto: opennet.ru