Openssl é uma API que fornece um ambiente adequado para criptografar os dados enviados
Após um ano e meio de desenvolvimento e várias versões corretivas da versão anterior, o lançamento de a nova versão da biblioteca “OpenSSL 3.1.0” com a implementação de protocolos SSL/TLS e vários algoritmos de criptografia.
O suporte para esta nova versão do OpenSSL 3.1 continuará até março de 2025, enquanto o suporte para as versões legadas do OpenSSL 3.0 e 1.1.1 continuará até setembro de 2026 e setembro de 2023, respectivamente.
Para aqueles que não conhecem o OpenSSL, devem saber que este é um projeto de software livre baseado em SSLeay, que consiste em um pacote robusto de bibliotecas relacionadas à criptografia e ferramentas de administração, que fornecem funções criptográficas para outros pacotes, como OpenSSH e navegadores da Web (para acesso seguro a sites HTTPS).
Essas ferramentas ajudam o sistema a implementar o Secure Sockets Layer (SSL), bem como outros protocolos relacionados à segurança, como o Transport Layer Security (TLS). O OpenSSL também permite criar certificados digitais que podem ser aplicados a um servidor, por exemplo Apache.
OpenSSL usado na validação criptografada clientes de e-mail, transações via web para pagamentos com cartão de crédito e em muitos casos em sistemas que exigem segurança para as informações que serão expostas na rede “dados confidenciais”.
Principais novidades do OpenSSL 3.1.0
Nesta nova versão do OpenSSL 3.1.0, destaca-se que Módulo FIPS implementa suporte para algoritmos criptográficos que atendem ao padrão de segurança FIPS 140-3, além disso o processo de certificação do módulo foi iniciado para obter a certificação de conformidade FIPS 140-3.
É mencionado que até que a certificação seja concluída após a atualização do OpenSSL para a ramificação 3.1, os usuários podem continuar a usar um módulo FIPS certificado FIPS 140-2. Das mudanças na nova versão do módulo, destaca-se a inclusão dos algoritmos Triple DES ECB, Triple DES CBC e EdDSA, que ainda não foram testados quanto ao cumprimento dos requisitos do FIPS. Também na nova versão foram feitas otimizações para melhorar o desempenho e foi feita uma transição para rodar testes internos a cada carga de módulo, e não apenas após a instalação.
Outra mudança que se destaca é que fez uma alteração no comprimento de sal padrão para assinaturas PKCS#1 RSASSA-PSS para o tamanho máximo que seja menor ou igual ao tamanho do resumo para cumprir
FIPS 186-4. Isso é implementado por uma nova opção `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` ("auto-digestmax") para o parâmetro `rsa_pss_saltlen`, que agora é o padrão.
Além disso, o código OSSL_LIB_CTX foi reformulado, a nova opção está livre de bloqueios desnecessários e permite maior desempenho.
Também desempenho aprimorado de estruturas de codificador e decodificador é destacado, bem como uma otimização de desempenho feita em relação ao uso de estruturas internas (tabelas de hash) e cache e também uma melhoria na velocidade de geração de chaves RSA no modo FIPS.
Os algoritmos AES-GCM, ChaCha20, SM3, SM4 e SM4-GCM têm otimizações pacotes assembler para diferentes arquiteturas de processadores. Por exemplo, o código AES-GCM é acelerado pelas instruções AVX512 vAES e vPCLMULQDQ.
Foi adicionado suporte para o algoritmo KMAC (KECCAK Message Authentication Code) para KBKDF (Key-Based Key Derivation Function), além de várias funções "OBJ_*" foram adaptadas para uso em código multi-threaded.
Adicionada a capacidade de usar a instrução RNDR e os registradores RNDRRS disponíveis em processadores baseados na arquitetura AArch64 para gerar números pseudo-aleatórios.
Por outro lado, é mencionado que a macro `DEFINE_LHASH_OF` agora está obsoleta em favor da macro `DEFINE_LHASH_OF_EX`, que omite a função específica do tipo correspondente para definições dessas funções, independentemente de `OPENSSL_NO_DEPRECATED_3_1` ser definido. É por isso que os usuários de `DEFINE_LHASH_OF` podem começar a receber avisos de descontinuação para essas funções, independentemente de estarem usando-as. Recomenda-se que os usuários façam a transição para a nova macro, `DEFINE_LHASH_OF_EX`.
Finalmente, se você estiver interessado em saber mais sobre isso sobre este novo lançamento, você pode conferir os detalhes nol link a seguir.