ProHoster > Блог > Новини інтернету > Випуск криптографічної бібліотеки OpenSSL 3.1.0

Випуск криптографічної бібліотеки OpenSSL 3.1.0

Після півтора року розробки відбувся реліз бібліотеки OpenSSL 3.1.0 з реалізацією протоколів SSL/TLS та різних алгоритмів шифрування. Підтримка OpenSSL 3.1 буде здійснюватися до березня 2025 року. Підтримка минулих гілок OpenSSL 3.0 та 1.1.1 триватиме до вересня 2026 року та вересня 2023 року відповідно. Код проекту розповсюджується під ліцензією Apache 2.0.

Основні нововведення OpenSSL 3.1.0:

  • У модулі FIPS реалізовано підтримку криптографічних алгоритмів, що відповідають стандарту безпеки FIPS 140-3. Розпочато процес сертифікації модуля для отримання сертифіката відповідності вимогам FIPS 140-3. До завершення сертифікації після оновлення OpenSSL до гілки 3.1, користувачі можуть продовжити використання модуля FIPS, сертифікованого для FIPS 140-2. Зі змін у новій версії модуля відзначається включення алгоритмів Triple DES ECB, Triple DES CBC та EdDSA, які поки не перевірені на відповідність вимогам FIPS. Також у новій версії внесено оптимізацію для підвищення продуктивності та здійснено перехід на запуск внутрішніх тестів при кожному завантаженні модуля, а не тільки після встановлення.
  • Перероблено код OSSL_LIB_CTX. Новий варіант позбавлений зайвих блокувань і дозволяє досягти більш високої продуктивності.
  • Підвищено продуктивність фреймворків кодувальника та декодувальника.
  • Проведено оптимізацію продуктивності, пов'язану з використанням внутрішніх структур (хеш-таблиць) та кешуванням.
  • Підвищено швидкість генерації RSA-ключів у режимі FIPS.
  • Для різних процесорних архітектур у реалізації алгоритмів AES-GCM, ChaCha20, SM3, SM4 та SM4-GCM внесено специфічні асемблерні оптимізації. Наприклад, код AES-GCM прискорений за допомогою інструкцій AVX512 vAES та vPCLMULQDQ.
  • У KBKDF (Key Based Key Derivation Function) додано підтримку алгоритму KMAC (KECCAK Message Authentication Code).
  • Різні функції «OBJ_*» адаптовані для використання у багатопотоковому коді.
  • Додано можливість використання для генерації псевдовипадкових чисел інструкції RNDR та регістрів RNDRRS, доступних у процесорах на базі архітектури AArch64.
  • Переведені в розряд застарілих функції OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio та OPENSSL_LH_node_usage_stat. Оголошено застарілим макрос DEFINE_LHASH_OF.

Джерело: opennet.ru

Додати коментар або відгук