Openssl is een api die een geschikte omgeving biedt om de verzonden gegevens te versleutelen
Na anderhalf jaar ontwikkeling en verschillende corrigerende versies in de vorige versie, de lancering van de nieuwe versie van de bibliotheek “OpenSSL 3.1.0” met de implementatie van SSL/TLS-protocollen en verschillende coderingsalgoritmen.
Ondersteuning voor deze nieuwe versie van OpenSSL 3.1 loopt door tot maart 2025, terwijl ondersteuning voor verouderde OpenSSL-versies 3.0 en 1.1.1 loopt tot respectievelijk september 2026 en september 2023.
Voor degenen die OpenSSL niet kennen, ze zouden dat moeten weten dit is een gratis softwareproject gebaseerd op SSLeay, dat bestaat uit een robuust pakket van cryptografie-gerelateerde bibliotheken en beheertools, die cryptografische functies bieden aan andere pakketten zoals OpenSSH en webbrowsers (voor veilige toegang tot HTTPS-sites).
Deze tools helpen het systeem om Secure Sockets Layer (SSL) te implementeren, evenals andere beveiligingsgerelateerde protocollen zoals Transport Layer Security (TLS). Met OpenSSL kunt u ook digitale certificaten maken die kunnen worden toegepast op een server, bijvoorbeeld Apache.
OpenSSL gebruikt bij gecodeerde validatie e-mailclients, webgebaseerde transacties voor creditcardbetalingen en in veel gevallen in systemen die beveiliging vereisen voor de informatie die op het netwerk wordt vrijgegeven "vertrouwelijke gegevens".
Belangrijkste nieuwe functies van OpenSSL 3.1.0
In deze nieuwe versie van OpenSSL 3.1.0 wordt dat benadrukt FIPS-module implementeert ondersteuning voor cryptografische algoritmen die voldoen aan de veiligheidsnorm FIPS 140-3, Daarnaast het certificeringsproces van de module is gestart om FIPS 140-3 conformiteitscertificering te verkrijgen.
Er wordt vermeld dat totdat de certificering is voltooid na het updaten van OpenSSL naar tak 3.1, gebruikers een FIPS 140-2 gecertificeerde FIPS-module kunnen blijven gebruiken. Van de wijzigingen in de nieuwe versie van de module valt de opname van de Triple DES ECB-, Triple DES CBC- en EdDSA-algoritmen op, die nog niet zijn getest op naleving van FIPS-vereisten. Ook in de nieuwe versie zijn optimalisaties doorgevoerd om de prestaties te verbeteren en is er een overgang gemaakt om interne tests uit te voeren bij elke modulebelasting, en niet alleen na installatie.
Een andere opvallende verandering is dat een wijziging aangebracht in de standaard zoutlengte voor PKCS#1 RSASSA-PSS-handtekeningen tot de maximale grootte die kleiner is dan of gelijk is aan de samenvattingslengte om aan te voldoen
FIPS 186-4. Dit wordt geïmplementeerd door een nieuwe optie `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` ("auto-digestmax") voor de parameter `rsa_pss_saltlen`, wat nu de standaard is.
Daarnaast, de OSSL_LIB_CTX-code is herwerkt, de nieuwe optie is vrij van onnodige sloten en zorgt voor betere prestaties.
ook verbeterde prestaties van encoder- en decoderframeworks worden benadrukt, evenals een prestatieoptimalisatie met betrekking tot het gebruik van interne structuren (hashtabellen) en caching en ook een verbeterde snelheid van het genereren van RSA-sleutels in FIPS-modus.
De algoritmen AES-GCM, ChaCha20, SM3, SM4 en SM4-GCM hebben optimalisaties assembler-pakketten voor verschillende processorarchitecturen. AES-GCM-code wordt bijvoorbeeld versneld door de AVX512 vAES- en vPCLMULQDQ-instructies.
Is toegevoegd ondersteuning voor het KMAC-algoritme (KECCAK Message Authentication Code) naar KBKDF (Key-Based Key Derivation Function), plus verschillende "OBJ_*"-functies zijn aangepast voor gebruik in multi-threaded code.
De mogelijkheid toegevoegd om de RNDR-instructie en de RNDRRS-registers te gebruiken die beschikbaar zijn op processors op basis van de AArch64-architectuur om pseudowillekeurige getallen te genereren.
Aan de andere kant wordt vermeld dat de `DEFINE_LHASH_OF`-macro nu verouderd is ten gunste van de `DEFINE_LHASH_OF_EX`-macro, die de overeenkomstige typespecifieke functie voor definities van deze functies weglaat, ongeacht of `OPENSSL_NO_DEPRECATED_3_1` is gedefinieerd. Dit is de reden waarom gebruikers van `DEFINE_LHASH_OF` depreciatiewaarschuwingen kunnen ontvangen voor deze functies, ongeacht of ze deze gebruiken. Het wordt aanbevolen dat gebruikers overstappen naar de nieuwe macro `DEFINE_LHASH_OF_EX`.
Tenslotte als u er meer over wilt weten over deze nieuwe release kunt u de details bekijken op del volgende link.