ProHoster > Blogs > interneta ziņas > OpenSSL 3.1.0 kriptogrāfijas bibliotēkas laidiens

OpenSSL 3.1.0 kriptogrāfijas bibliotēkas laidiens

Pēc pusotru gadu ilgas izstrādes tika izlaista OpenSSL 3.1.0 bibliotēka, kurā tika ieviesti SSL/TLS protokoli un dažādi šifrēšanas algoritmi. OpenSSL 3.1 tiks atbalstīts līdz 2025. gada martam. Iepriekšējo OpenSSL 3.0 un 1.1.1 atzaru atbalsts turpināsies attiecīgi līdz 2026. gada septembrim un 2023. gada septembrim. Projekta kods tiek izplatīts saskaņā ar Apache 2.0 licenci.

Galvenie OpenSSL 3.1.0 jauninājumi:

  • FIPS modulis atbalsta kriptogrāfijas algoritmus, kas atbilst FIPS 140-3 drošības standartam. Sākts moduļu sertifikācijas process, lai iegūtu sertifikātu par atbilstību FIPS 140-3 prasībām. Kamēr sertifikācija nav pabeigta, pēc OpenSSL atjaunināšanas uz filiāli 3.1 lietotāji var turpināt izmantot FIPS moduli, kas ir sertificēts saskaņā ar FIPS 140-2. Starp izmaiņām jaunajā moduļa versijā tiek atzīmēta Triple DES ECB, Triple DES CBC un EdDSA algoritmu iekļaušana, kuru atbilstība FIPS prasībām vēl nav pārbaudīta. Jaunajā versijā ir iekļauta arī optimizācija veiktspējas uzlabošanai un pāreja uz iekšējo testu veikšanu katru reizi, kad modulis tiek ielādēts, nevis tikai pēc instalēšanas.
  • OSSL_LIB_CTX kods ir pārstrādāts. Jaunā opcija novērš nevajadzīgu bloķēšanu un nodrošina lielāku veiktspēju.
  • Uzlabota kodētāja un dekodētāja sistēmu veiktspēja.
  • Veikta veiktspējas optimizācija saistībā ar iekšējo struktūru (jaucējtabulu) izmantošanu un kešatmiņu.
  • Ir palielināts RSA atslēgu ģenerēšanas ātrums FIPS režīmā.
  • Dažādām procesoru arhitektūrām AES-GCM, ChaCha20, SM3, SM4 un SM4-GCM algoritmu ieviešanā ir ieviestas specifiskas montāžas optimizācijas. Piemēram, AES-GCM kods tiek paātrināts, izmantojot AVX512 vAES un vPCLMULQDQ instrukcijas.
  • KBKDF (atslēgas atvasināšanas funkcija) tagad atbalsta KMAC (KECCAK Message Authentication Code) algoritmu.
  • Dažādas "OBJ_*" funkcijas ir pielāgotas lietošanai daudzpavedienu kodā.
  • Pievienota iespēja izmantot RNDR norādījumus un RNDRRS reģistrus, kas pieejami procesoros, kuru pamatā ir AArch64 arhitektūra, lai ģenerētu pseidogadījuma skaitļus.
  • Funkcijas OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio un OPENSSL_LH_stats_bio ir atceltas. Makro DEFINE_LHASH_OF ir novecojis.

Avots: opennet.ru

Pievieno komentāru