Openssl е API, който предоставя подходяща среда за криптиране на изпратените данни
След година и половина разработка и няколко коригиращи версии в предишната версия, стартирането на новата версия на библиотеката „OpenSSL 3.1.0“ с внедряване на SSL/TLS протоколи и различни алгоритми за криптиране.
Поддръжката за тази нова версия на OpenSSL 3.1 ще продължи до март 2025 г., докато поддръжката за наследени OpenSSL версии 3.0 и 1.1.1 ще продължи съответно до септември 2026 г. и септември 2023 г.
За тези, които не са запознати с OpenSSL, те трябва да знаят това това е проект за безплатен софтуер, базиран на SSLeay, който се състои от стабилен пакет от свързани с криптографията библиотеки и административни инструменти, които предоставят криптографски функции на други пакети като OpenSSH и уеб браузъри (за защитен достъп до HTTPS сайтове).
Тези инструменти помагат на системата да внедри Secure Sockets Layer (SSL), както и други протоколи, свързани със сигурността, като например Transport Layer Security (TLS). OpenSSL също ви позволява да създавате цифрови сертификати, които могат да бъдат приложени към сървър, например Apache.
OpenSSL използвани при криптирана проверка пощенски клиенти, уеб-базирани транзакции за плащания с кредитни карти и в много случаи в системи, които изискват сигурност за информацията, която ще бъде изложена в мрежата „поверителни данни“.
Основни нови характеристики на OpenSSL 3.1.0
В тази нова версия на OpenSSL 3.1.0 се подчертава, че Модулът FIPS реализира поддръжка за криптографски алгоритми които отговарят на стандарта за безопасност FIPS 140-3, Освен, че процесът на сертифициране на модула е започнал за получаване на сертификат за съответствие с FIPS 140-3.
Споменава се, че до завършване на сертифицирането след актуализиране на OpenSSL до клон 3.1, потребителите могат да продължат да използват FIPS 140-2 сертифициран FIPS модул. От промените в новата версия на модула се откроява включването на алгоритмите Triple DES ECB, Triple DES CBC и EdDSA, които все още не са тествани за съответствие с изискванията на FIPS. Също така в новата версия са направени оптимизации за подобряване на производителността и е направен преход за провеждане на вътрешни тестове при всяко зареждане на модула, а не само след инсталиране.
Друга промяна, която се откроява, е тази направи промяна на дължината на солта по подразбиране за PKCS#1 RSASSA-PSS подписи до максималния размер, който е по-малък или равен на дължината на извлечението, за да се спазва
FIPS 186-4. Това се реализира чрез нова опция `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` ("auto-digestmax") за параметъра `rsa_pss_saltlen`, който сега е по подразбиране.
Освен, че, кодът OSSL_LIB_CTX е преработен, новата опция е свободна от ненужни ключалки и позволява по-висока производителност.
Tambien подчертава се подобрената производителност на рамките на енкодера и декодера, както и оптимизация на производителността, свързана с използването на вътрешни структури (хеш таблици) и кеширане, както и подобрена скорост на генериране на RSA ключ в режим FIPS.
алгоритми AES-GCM, ChaCha20, SM3, SM4 и SM4-GCM имат оптимизации асемблерни пакети за различни процесорни архитектури. Например кодът AES-GCM се ускорява от инструкциите AVX512 vAES и vPCLMULQDQ.
Беше добавено поддръжка на алгоритъма KMAC (KECCAK Message Authentication Code) към KBKDF (Key-Based Key Derivation Function), плюс няколко функции "OBJ_*" са адаптирани за използване в многонишков код.
Добавена е възможност за използване на инструкцията RNDR и регистрите RNDRRS, налични на процесори, базирани на архитектурата AArch64, за генериране на псевдослучайни числа.
От друга страна се споменава, че макросът `DEFINE_LHASH_OF` вече е отхвърлен в полза на макроса `DEFINE_LHASH_OF_EX`, който пропуска съответната специфична за типа функция за дефиниции на тези функции, независимо дали е дефиниран `OPENSSL_NO_DEPRECATED_3_1`. Ето защо потребителите на `DEFINE_LHASH_OF` може да започнат да получават предупреждения за оттегляне на тези функции, независимо дали ги използват. Препоръчително е потребителите да преминат към новия макрос, `DEFINE_LHASH_OF_EX`.
И накрая, ако се интересувате да научите повече за това относно тази нова версия, можете да проверите подробностите наl следваща връзка.