经过一年半的开发,OpenSSL 3.1.0 库发布,实现了 SSL/TLS 协议和各种加密算法。 对 OpenSSL 3.1 的支持将持续到 2025 年 3.0 月。 对遗留 OpenSSL 1.1.1 和 2026 分支的支持将分别持续到 2023 年 2.0 月和 XNUMX 年 XNUMX 月。 项目代码在 Apache XNUMX 许可证下分发。
OpenSSL 3.1.0 的主要创新:
- FIPS 模块实现了对符合 FIPS 140-3 安全标准的加密算法的支持。 模块认证流程已开始获得FIPS 140-3合规认证。 在将 OpenSSL 升级到 3.1 分支后完成认证之前,用户可以继续使用经过 FIPS 140-2 认证的 FIPS 模块。 在模块新版本的变化中,值得注意的是包含了尚未经过 FIPS 要求合规性测试的 Triple DES ECB、Triple DES CBC 和 EdDSA 算法。 同样在新版本中,已经进行了优化以提高性能,并且已经过渡到在每个模块加载时运行内部测试,而不仅仅是在安装之后。
- 修改了 OSSL_LIB_CTX 代码。 新选项没有不必要的锁,可以让您获得更高的性能。
- 改进了编码器和解码器框架的性能。
- 执行与内部结构(哈希表)和缓存的使用相关的性能优化。
- 提高了在 FIPS 模式下生成 RSA 密钥的速度。
- AES-GCM、ChaCha20、SM3、SM4 和 SM4-GCM 算法具有针对不同处理器架构的特定汇编程序优化。 例如,使用 AVX512 vAES 和 vPCLMULQDQ 指令加速 AES-GCM 代码。
- KBKDF(基于密钥的密钥派生函数)中添加了对 KMAC(KECCAK 消息验证码)算法的支持。
- 各种“OBJ_*”函数已适用于多线程代码。
- 添加了使用基于 AArch64 架构的处理器中可用的 RNDR 指令和 RNDRRS 寄存器生成伪随机数的功能。
- OPENSSL_LH_stats、OPENSSL_LH_node_stats、OPENSSL_LH_node_usage_stats、OPENSSL_LH_stats_bio、OPENSSL_LH_node_stats_bio 和 OPENSSL_LH_node_usage_stats_bio 函数已被弃用。 弃用 DEFINE_LHASH_OF 宏。
来源: opennet.ru