Pas një viti e gjysmë zhvillimi, biblioteka OpenSSL 3.1.0 u lëshua me zbatimin e protokolleve SSL/TLS dhe algoritmeve të ndryshme të enkriptimit. OpenSSL 3.1 do të mbështetet deri në mars 2025. Mbështetja për degët e mëparshme të OpenSSL 3.0 dhe 1.1.1 do të vazhdojë përkatësisht deri në shtator 2026 dhe shtator 2023. Kodi i projektit shpërndahet nën licencën Apache 2.0.
Risitë kryesore të OpenSSL 3.1.0:
- Moduli FIPS mbështet algoritme kriptografike që përputhen me standardin e sigurisë FIPS 140-3. Procesi i certifikimit të modulit ka filluar për të marrë një certifikatë përputhshmërie me kërkesat FIPS 140-3. Derisa të përfundojë certifikimi, pas përditësimit të OpenSSL në degën 3.1, përdoruesit mund të vazhdojnë të përdorin një modul FIPS që është i certifikuar sipas FIPS 140-2. Ndër ndryshimet në versionin e ri të modulit, vërehet përfshirja e algoritmeve Triple DES ECB, Triple DES CBC dhe EdDSA, të cilat ende nuk janë testuar për pajtueshmërinë me kërkesat FIPS. Versioni i ri përfshin gjithashtu optimizime për të përmirësuar performancën dhe një kalim në ekzekutimin e testeve të brendshme sa herë që ngarkohet moduli, dhe jo vetëm pas instalimit.
- Kodi OSSL_LIB_CTX është ripunuar. Opsioni i ri eliminon bllokimin e panevojshëm dhe lejon performancë më të lartë.
- Performanca e përmirësuar e kornizave të koduesit dhe dekoderit.
- Është kryer optimizimi i performancës në lidhje me përdorimin e strukturave të brendshme (tabelat hash) dhe caching.
- Shpejtësia e gjenerimit të çelësave RSA në modalitetin FIPS është rritur.
- Për arkitektura të ndryshme të procesorëve, janë futur optimizime specifike të montimit në zbatimin e algoritmeve AES-GCM, ChaCha20, SM3, SM4 dhe SM4-GCM. Për shembull, kodi AES-GCM përshpejtohet duke përdorur udhëzimet AVX512 vAES dhe vPCLMULQDQ.
- KBKDF (Funksioni i derivimit të çelësit të bazuar në çelës) tani mbështet algoritmin KMAC (KECCAK Message Authentication Code).
- Funksione të ndryshme "OBJ_*" janë përshtatur për përdorim në kodin me shumë fije.
- U shtua aftësia për të përdorur instruksionet RNDR dhe regjistrat RNDRRS, të disponueshëm në procesorë të bazuar në arkitekturën AArch64, për të gjeneruar numra pseudorandom.
- Funksionet OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio dhe OPENSSL_LH_node_usage_stats_bio janë bërë. Makroja DEFINE_LHASH_OF është zhvlerësuar.
Burimi: opennet.ru