Openssl este o API care oferă un mediu adecvat pentru a cripta datele trimise
După un an și jumătate de dezvoltare și mai multe versiuni corective în versiunea anterioară, lansarea noua versiune a bibliotecii „OpenSSL 3.1.0” cu implementarea protocoalelor SSL/TLS și a diverșilor algoritmi de criptare.
Suportul pentru această nouă versiune a OpenSSL 3.1 va continua până în martie 2025, în timp ce suportul pentru versiunile vechi OpenSSL 3.0 și 1.1.1 va continua până în septembrie 2026 și, respectiv, septembrie 2023.
Pentru cei care nu cunosc OpenSSL, ar trebui să știe asta acesta este un proiect software gratuit bazat pe SSLeay, care constă dintr-un pachet robust de biblioteci și instrumente de administrare legate de criptografie, care oferă funcții criptografice altor pachete, cum ar fi OpenSSH și browsere web (pentru acces securizat la site-urile HTTPS).
Aceste instrumente ajută sistemul să implementeze Secure Sockets Layer (SSL), precum și alte protocoale legate de securitate, cum ar fi Transport Layer Security (TLS). OpenSSL vă permite, de asemenea, să creați certificate digitale care pot fi aplicate unui server, de exemplu Apache.
OpenSSL utilizat în validarea criptată clienți de corespondență, tranzacții online pentru plăți cu cardul de credit și în multe cazuri în sisteme care necesită securitate pentru informațiile care vor fi expuse în rețea „date confidențiale”.
Principalele caracteristici noi ale OpenSSL 3.1.0
În această nouă versiune a OpenSSL 3.1.0, se evidențiază faptul că Modulul FIPS implementează suport pentru algoritmi criptografici care îndeplinesc standardul de siguranță FIPS 140-3, Pe lângă asta procesul de certificare a modulelor a început pentru a obține certificarea de conformitate FIPS 140-3.
Se menționează că până la finalizarea certificării după actualizarea OpenSSL la ramura 3.1, utilizatorii pot continua să folosească un modul FIPS certificat FIPS 140-2. Dintre modificările din noua versiune a modulului, se remarcă includerea algoritmilor Triple DES ECB, Triple DES CBC și EdDSA, care nu au fost încă testați pentru conformitatea cu cerințele FIPS. De asemenea, în noua versiune, au fost făcute optimizări pentru a îmbunătăți performanța și a fost făcută o tranziție pentru a rula teste interne cu fiecare încărcare a modulului, și nu doar după instalare.
O altă schimbare care iese în evidență este că a făcut o modificare a lungimii implicite de sare pentru semnăturile PKCS#1 RSASSA-PSS la dimensiunea maximă care este mai mică sau egală cu lungimea rezumatului de respectat
FIPS 186-4. Acest lucru este implementat de o nouă opțiune `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` ("auto-digestmax") pentru parametrul `rsa_pss_saltlen`, care este acum implicit.
Pe lângă asta, codul OSSL_LIB_CTX a fost reluat, noua opțiune este lipsită de blocări inutile și permite performanțe mai mari.
también este evidențiată performanța îmbunătățită a cadrelor de codare și decodor, precum și o optimizare a performanței realizată legată de utilizarea structurilor interne (tabele hash) și de cache și, de asemenea, o viteză îmbunătățită de generare a cheilor RSA în modul FIPS.
algoritmi AES-GCM, ChaCha20, SM3, SM4 și SM4-GCM au optimizări pachete de asamblare pentru diferite arhitecturi de procesoare. De exemplu, codul AES-GCM este accelerat de instrucțiunile AVX512 vAES și vPCLMULQDQ.
A fost adaugat suport pentru algoritmul KMAC (KECCAK Message Authentication Code) la KBKDF (Key-Based Key Derivation Function), plus câteva funcții „OBJ_*” au fost adaptate pentru utilizare în codul cu mai multe fire.
S-a adăugat capacitatea de a utiliza instrucțiunea RNDR și registrele RNDRRS disponibile pe procesoare bazate pe arhitectura AArch64 pentru a genera numere pseudoaleatoare.
Pe de altă parte, se menționează că macro-ul `DEFINE_LHASH_OF` este acum depreciat în favoarea macro-ului `DEFINE_LHASH_OF_EX`, care omite funcția corespunzătoare specifică tipului pentru definițiile acestor funcții, indiferent dacă este definită `OPENSSL_NO_DEPRECATED_3_1`. Acesta este motivul pentru care utilizatorii `DEFINE_LHASH_OF` pot începe să primească avertismente de depreciere pentru aceste funcții, indiferent dacă le folosesc. Se recomandă ca utilizatorii să treacă la noua macrocomandă, `DEFINE_LHASH_OF_EX`.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre asta despre această nouă lansare, puteți verifica detaliile peUrmătorul link.