Openssl yra API, kuri suteikia tinkamą aplinką siunčiamiems duomenims užšifruoti
Po pusantrų metų kūrimo ir kelių korekcinių versijų ankstesnėje versijoje, paleidimas nauja bibliotekos versija „OpenSSL 3.1.0“ įdiegus SSL/TLS protokolus ir įvairius šifravimo algoritmus.
Šios naujos „OpenSSL 3.1“ versijos palaikymas tęsis iki 2025 m. kovo mėn., o senosios „OpenSSL 3.0“ ir 1.1.1 versijos bus palaikomos atitinkamai iki 2026 m. rugsėjo ir 2023 m. rugsėjo mėn.
Tie, kurie nežino apie OpenSSL, turėtų tai žinoti tai nemokama programinės įrangos projektas, pagrįstas SSLeay, kurį sudaro tvirtas su kriptografija susijusių bibliotekų ir administravimo įrankių paketas, teikiantis kriptografines funkcijas kitiems paketams, pvz., OpenSSH ir žiniatinklio naršyklėms (saugiai prieigai prie HTTPS svetainių).
Šie įrankiai padeda sistemai įdiegti saugiųjų lizdų sluoksnį (SSL), taip pat kitus su saugumu susijusius protokolus, tokius kaip transporto sluoksnio sauga (TLS). OpenSSL taip pat leidžia kurti skaitmeninius sertifikatus, kurie gali būti taikomi serveriui, pavyzdžiui, Apache.
OpenSSL naudojamas šifruotam patvirtinimui pašto klientai, internetinės operacijos kreditinėmis kortelėmis ir daugeliu atvejų sistemose, kurioms reikalingas informacijos, kuri bus atskleista tinkle „konfidencialiais duomenimis“, saugumas.
Pagrindinės naujos OpenSSL 3.1.0 funkcijos
Šioje naujoje OpenSSL 3.1.0 versijoje pabrėžiama, kad FIPS modulis įgyvendina kriptografinių algoritmų palaikymą kurie atitinka saugos standartus FIPS 140-3, neskaitant to prasidėjo modulio sertifikavimo procesas gauti FIPS 140-3 atitikties sertifikatą.
Paminėta, kad kol sertifikavimas nebus baigtas atnaujinus OpenSSL į šaką 3.1, vartotojai gali ir toliau naudoti FIPS 140-2 sertifikuotą FIPS modulį. Iš naujosios modulio versijos pakeitimų išsiskiria Triple DES ECB, Triple DES CBC ir EdDSA algoritmų įtraukimas, kurių atitiktis FIPS reikalavimams dar nebuvo išbandytas. Taip pat naujojoje versijoje buvo optimizuotas našumas, o vidinius bandymus pereita prie kiekvieno modulio įkėlimo, o ne tik įdiegus.
Kitas išsiskiriantis pokytis yra tas pakeitė numatytąjį druskos ilgį PKCS#1 RSASSA-PSS parašams iki didžiausio dydžio, kuris yra mažesnis arba lygus santraukos ilgiui, kad būtų laikomasi
FIPS 186-4. Tai įgyvendinama naudojant naują parametro „rsa_pss_saltlen“ parinktį „OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX“ („auto-digestmax“), kuri dabar yra numatytoji.
Neskaitant to, OSSL_LIB_CTX kodas buvo perdarytas, naujoji parinktis yra be nereikalingų užraktų ir leidžia užtikrinti didesnį našumą.
Tambienas paryškinamas patobulintas kodavimo ir dekodavimo sistemų veikimas, taip pat atliktas našumo optimizavimas, susijęs su vidinių struktūrų (maišos lentelių) naudojimu ir talpyklos kaupimu, taip pat pagerinta RSA rakto generavimo FIPS režimu sparta.
Algoritmai AES-GCM, ChaCha20, SM3, SM4 ir SM4-GCM turi optimizavimą įvairių procesorių architektūrų surinkėjų paketai. Pavyzdžiui, AES-GCM kodą pagreitina AVX512 vAES ir vPCLMULQDQ instrukcijos.
Buvo pridėta KMAC algoritmo palaikymas (KECCAK pranešimo autentifikavimo kodas) į KBKDF (raktu pagrįstą rakto išvedimo funkciją), taip pat kelios „OBJ_*“ funkcijos buvo pritaikytos naudoti kelių gijų kode.
Pridėta galimybė naudoti RNDR instrukcijas ir RNDRRS registrus, esančius procesoriuose, pagrįstuose AArch64 architektūra, kad būtų generuojami pseudoatsitiktiniai skaičiai.
Kita vertus, minima, kad makrokomanda „DEFINE_LHASH_OF“ dabar nebenaudojama, o makrokomanda „DEFINE_LHASH_OF_EX“, kuri praleidžia atitinkamą tipui būdingą funkciją šių funkcijų apibrėžimams, nepaisant to, ar apibrėžta „OPENSSL_NO_DEPRECATED_3_1“. Štai kodėl „DEFINE_LHASH_OF“ naudotojai gali pradėti gauti įspėjimus dėl šių funkcijų naudojimo, nepaisant to, ar jas naudoja. Naudotojams rekomenduojama pereiti prie naujos makrokomandos „DEFINE_LHASH_OF_EX“.
Galiausiai, jei norite sužinoti daugiau apie tai Apie šį naują leidimą galite patikrinti išsamią informacijąl kita nuoroda.