Bir buçuk yıllık geliştirme sürecinin ardından, SSL/TLS protokollerinin ve çeşitli şifreleme algoritmalarının uygulanmasıyla OpenSSL 3.1.0 kütüphanesi yayınlandı. OpenSSL 3.1 Mart 2025'e kadar desteklenecektir. OpenSSL 3.0 ve 1.1.1'in geçmiş şubelerine yönelik destek sırasıyla Eylül 2026 ve Eylül 2023'e kadar devam edecek. Proje kodu Apache 2.0 lisansı altında dağıtılmaktadır.
OpenSSL 3.1.0'ın ana yenilikleri:
- FIPS modülü, FIPS 140-3 güvenlik standardına uygun şifreleme algoritmalarını destekler. FIPS 140-3 gerekliliklerine uygunluk belgesi almak için modül sertifikasyon süreci başlamıştır. Sertifikasyon tamamlanana kadar OpenSSL'i şube 3.1'e güncelledikten sonra kullanıcılar FIPS 140-2 sertifikasına sahip bir FIPS modülünü kullanmaya devam edebilirler. Modülün yeni sürümündeki değişiklikler arasında, henüz FIPS gerekliliklerine uygunluğu test edilmemiş olan Triple DES ECB, Triple DES CBC ve EdDSA algoritmalarının dahil edilmesi dikkat çekiyor. Yeni sürüm aynı zamanda performansı iyileştirmeye yönelik optimizasyonlar ve yalnızca kurulumdan sonra değil, modül her yüklendiğinde dahili testlerin çalıştırılmasına geçişi de içeriyor.
- OSSL_LIB_CTX kodu yeniden düzenlendi. Yeni seçenek gereksiz engellemeyi ortadan kaldırır ve daha yüksek performans sağlar.
- Kodlayıcı ve kod çözücü çerçevelerinin performansı iyileştirildi.
- Dahili yapıların (hash tabloları) kullanımı ve önbelleğe alma ile ilgili performans optimizasyonu yapılmıştır.
- FIPS modunda RSA anahtarları oluşturma hızı artırıldı.
- Çeşitli işlemci mimarileri için AES-GCM, ChaCha20, SM3, SM4 ve SM4-GCM algoritmalarının uygulanmasında özel montaj optimizasyonları sunulmuştur. Örneğin, AES-GCM kodu AVX512 vAES ve vPCLMULQDQ talimatları kullanılarak hızlandırılır.
- KBKDF (Anahtar Tabanlı Anahtar Türetme İşlevi) artık KMAC (KECCAK Mesaj Kimlik Doğrulama Kodu) algoritmasını desteklemektedir.
- Çeşitli "OBJ_*" işlevleri çok iş parçacıklı kodda kullanılmak üzere uyarlanmıştır.
- Sahte rastgele sayılar oluşturmak için AArch64 mimarisini temel alan işlemcilerde bulunan RNDR talimatını ve RNDRRS kayıtlarını kullanma yeteneği eklendi.
- OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio ve OPENSSL_LH_node_usage_stats_bio işlevleri kullanımdan kaldırıldı. DEFINE_LHASH_OF makrosu kullanımdan kaldırıldı.
Kaynak: opennet.ru