Openssl és una api que proporciona un entorn adequat per encriptar les dades enviades
Després d'un any i mig de desenvolupament i diverses versions correctives a la versió anterior, es va donar a conèixer el llançament de la nova versió de la biblioteca OpenSSL 3.1.0 amb la implementació dels protocols SSL/TLS i diversos algorismes d'encriptació.
El suport per a aquesta nova versió d'OpenSSL 3.1 continuarà fins al març del 2025, mentre que la compatibilitat amb les versions heretades d'OpenSSL 3.0 i 1.1.1 continuarà fins al setembre del 2026 i el setembre del 2023, respectivament.
Per als que desconeixen d'OpenSSL han de saber que aquest és un projecte de programari lliure basat en SSLeay, el qual consisteix en un paquet robust d'eines d'administració i biblioteques relacionades amb la criptografia, que subministren funcions criptogràfiques a altres paquets com OpenSSH i navegadors web (per a accés segur a llocs HTTPS).
Aquestes eines ajuden el sistema a implementar el Secure Sockets Layer (SSL), així com altres protocols relacionats amb la seguretat, com el Transport Layer Security (TLS). OpenSSL també permet crear certificats digitals que es poden aplicar a un servidor, per exemple Apache.
OpenSSL s'empra en la validació xifrada de clients de correu, transaccions basades en web per a pagaments amb targetes de crèdit i en molts casos en sistemes que requereixin seguretat per a la informació que s'exposarà a la xarxa “dades confidencials”.
Principals novetats de l'OpenSSL 3.1.0
En aquesta nova versió que es presenta d'OpenSSL 3.1.0, es destaca que el mòdul FIPS implementa suport per a algoritmes criptogràfics que compleixen amb l'estàndard de seguretat FIPS 140-3, a més de que s'ha iniciat el procés de certificació de mòduls per obtenir la certificació de compliment FIPS 140-3.
S'esmenta que fins que es completi la certificació després d'actualitzar OpenSSL a la branca 3.1, els usuaris poden continuar usant un mòdul FIPS certificat per a FIPS 140-2. Dels canvis a la nova versió del mòdul, es destaca la inclusió dels algorismes Triple DES ECB, Triple DES CBC i EdDSA, que encara no han estat provats per al compliment dels requisits de FIPS. També a la nova versió, s'han realitzat optimitzacions per millorar el rendiment i s'ha fet una transició per executar proves internes amb cada càrrega de mòdul, i no només després de la instal·lació.
Un altre dels canvis que es destaca, és que es va fer un canvi en la longitud salt predeterminada per a les signatures PKCS#1 RSASSA-PSS a la mida màxima que és més petita o igual a la longitud del resum per complir amb
FIPS 186-4. Això s'implementa mitjançant una nova opció `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` («auto-digestmax») per al paràmetre `rsa_pss_saltlen`, que ara és el predeterminat.
A més d'això, el codi OSSL_LIB_CTX es reelaborat, la nova opció està lliure de bloquejos innecessaris i permet aconseguir més rendiment.
també es destaca el rendiment millorat dels marcs de codificador i descodificador, així com també una optimització de rendiment realitzada relacionada amb l'ús d'estructures internes (taules hash) i emmagatzematge en memòria cau i també una velocitat millorada de generació de claus RSA en mode FIPS.
els algoritmes AES-GCM, ChaCha20, SM3, SM4 i SM4-GCM tenen optimitzacions d'assemblador específiques per a diferents arquitectures de processador. Per exemple, el codi AES-GCM s'accelera mitjançant les instruccions AVX512 vAES i vPCLMULQDQ.
S'ha afegit suport per a l'algorisme KMAC (Codi d'autenticació de missatges KECCAK) a KBKDF (Funció de derivació de clau basada en clau), a més que sé que han adaptat diverses funcions «OBJ_*» per al seu ús en codi de subprocessos múltiples.
Es va afegir la capacitat d'usar la instrucció RNDR i els registres RNDRRS disponibles als processadors basats en l'arquitectura AArch64 per generar nombres pseudoaleatoris.
D'altra banda, s'esmenta que la macro `DEFINE_LHASH_OF` ara està obsoleta a favor de la macro `DEFINE_LHASH_OF_EX`, que omet la funció específica del tipus corresponent per a definicions d'aquestes funcions, independentment de si es defineix `OPENSSL_NO_DEPRECATED_3_1`. És per això que els usuaris de `DEFINE_LHASH_OF` poden començar a rebre advertències d'obsolescència per a aquestes funcions independentment de si les utilitzeu. Es recomana que els usuaris facin la transició a la nova macro, `DEFINE_LHASH_OF_EX`.
Finalment, si estàs interessat en poder conèixer més a l'respecte sobre aquest nou llançament, pots consultar els detalls a el següent enllaç.