經過一年半的開發,OpenSSL 3.1.0 庫發布,實現了 SSL/TLS 協議和各種加密算法。 對 OpenSSL 3.1 的支持將持續到 2025 年 3.0 月。 對遺留 OpenSSL 1.1.1 和 2026 分支的支持將分別持續到 2023 年 2.0 月和 XNUMX 年 XNUMX 月。 項目代碼在 Apache XNUMX 許可證下分發。
OpenSSL 3.1.0 的主要創新:
- FIPS 模塊實現了對符合 FIPS 140-3 安全標準的加密算法的支持。 模塊認證流程已開始獲得FIPS 140-3合規認證。 在將 OpenSSL 升級到 3.1 分支後完成認證之前,用戶可以繼續使用經過 FIPS 140-2 認證的 FIPS 模塊。 在新版本模塊的變化中,值得注意的是包含了尚未經過 FIPS 要求合規性測試的 Triple DES ECB、Triple DES CBC 和 EdDSA 算法。 同樣在新版本中,已經進行了優化以提高性能,並且已經過渡到在每個模塊加載時運行內部測試,而不僅僅是在安裝之後。
- 修改了 OSSL_LIB_CTX 代碼。 新選項沒有不必要的鎖,可以讓您獲得更高的性能。
- 改進了編碼器和解碼器框架的性能。
- 執行與內部結構(哈希表)和緩存的使用相關的性能優化。
- 提高了在 FIPS 模式下生成 RSA 密鑰的速度。
- AES-GCM、ChaCha20、SM3、SM4 和 SM4-GCM 算法具有針對不同處理器架構的特定彙編器優化。 例如,使用 AVX512 vAES 和 vPCLMULQDQ 指令加速 AES-GCM 代碼。
- KBKDF(基於密鑰的密鑰派生函數)中添加了對 KMAC(KECCAK 消息驗證碼)算法的支持。
- 各種“OBJ_*”函數已適用於多線程代碼。
- 添加了使用基於 AArch64 架構的處理器中可用的 RNDR 指令和 RNDRRS 寄存器生成偽隨機數的功能。
- OPENSSL_LH_stats、OPENSSL_LH_node_stats、OPENSSL_LH_node_usage_stats、OPENSSL_LH_stats_bio、OPENSSL_LH_node_stats_bio 和 OPENSSL_LH_node_usage_stats_bio 函數已被棄用。 棄用 DEFINE_LHASH_OF 宏。
來源: opennet.ru