Openssl je API, ki zagotavlja primerno okolje za šifriranje poslanih podatkov
Po letu in pol razvoja in več popravnih različicah prejšnje različice, začetek novo različico knjižnice "OpenSSL 3.1.0" z implementacijo protokolov SSL/TLS in različnih šifrirnih algoritmov.
Podpora za to novo različico OpenSSL 3.1 se bo nadaljevala do marca 2025, medtem ko se bo podpora za starejše različice OpenSSL 3.0 in 1.1.1 nadaljevala do septembra 2026 oziroma septembra 2023.
Tisti, ki ne poznajo OpenSSL, bi morali to vedeti to je projekt brezplačne programske opreme, ki temelji na SSLeay, ki je sestavljen iz robustnega paketa knjižnic in skrbniških orodij, povezanih s kriptografijo, ki zagotavljajo kriptografske funkcije drugim paketom, kot je OpenSSH in spletni brskalniki (za varen dostop do spletnih mest HTTPS).
Ta orodja pomagajo sistemu implementirati plast varnih vtičnic (SSL) kot tudi druge protokole, povezane z varnostjo, kot je varnost transportne plasti (TLS). OpenSSL omogoča tudi ustvarjanje digitalnih potrdil, ki jih je mogoče uporabiti na strežniku, na primer Apache.
OpenSSL uporablja pri šifriranem potrjevanju poštnih odjemalcev, spletnih transakcij za plačila s kreditnimi karticami in v mnogih primerih v sistemih, ki zahtevajo varnost informacij, ki bodo v omrežju izpostavljene "zaupnim podatkom".
Glavne nove funkcije OpenSSL 3.1.0
V tej novi različici OpenSSL 3.1.0 je poudarjeno, da Modul FIPS izvaja podporo za kriptografske algoritme ki izpolnjujejo varnostni standard FIPS 140-3, Poleg tega postopek certificiranja modula se je začel za pridobitev potrdila o skladnosti s standardom FIPS 140-3.
Omenjeno je, da lahko uporabniki še naprej uporabljajo modul FIPS s certifikatom FIPS 3.1-140, dokler certificiranje ni dokončano po posodobitvi OpenSSL na vejo 2. Od sprememb v novi različici modula izstopa vključitev algoritmov Triple DES ECB, Triple DES CBC in EdDSA, ki še niso testirani glede skladnosti z zahtevami FIPS. Tudi v novi različici so bile izvedene optimizacije za izboljšanje zmogljivosti in izveden je bil prehod na izvajanje notranjih testov z vsakim nalaganjem modula in ne šele po namestitvi.
Druga sprememba, ki izstopa, je ta spremenil privzeto dolžino soli za podpise PKCS#1 RSASSA-PSS na največjo velikost, ki je manjša ali enaka dolžini izvlečka, ki je skladna z
FIPS 186-4. To je implementirano z novo možnostjo `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` ("auto-digestmax") za parameter `rsa_pss_saltlen`, ki je zdaj privzeta.
Poleg tega, koda OSSL_LIB_CTX je bila predelana, nova možnost je brez nepotrebnih ključavnic in omogoča večjo zmogljivost.
Tudi poudarjeno je izboljšano delovanje ogrodij kodirnika in dekoderja, kot tudi optimizacijo zmogljivosti, povezano z uporabo notranjih struktur (hash tabel) in predpomnjenjem ter tudi izboljšano hitrostjo generiranja ključev RSA v načinu FIPS.
Algoritmi AES-GCM, ChaCha20, SM3, SM4 in SM4-GCM imajo optimizacije zbirni paketi za različne procesorske arhitekture. Na primer, kodo AES-GCM pospešijo navodila AVX512 vAES in vPCLMULQDQ.
Je dodan podpora za algoritem KMAC (KECCAK Message Authentication Code) v KBKDF (Key-Based Key Derivation Function), plus več funkcij "OBJ_*" je bilo prilagojenih za uporabo v večnitni kodi.
Dodana možnost uporabe ukaza RNDR in registrov RNDRRS, ki so na voljo v procesorjih, ki temeljijo na arhitekturi AArch64, za ustvarjanje psevdonaključnih števil.
Po drugi strani pa je omenjeno, da je makro `DEFINE_LHASH_OF` zdaj zastarel v korist makra `DEFINE_LHASH_OF_EX`, ki izpušča ustrezno tipsko specifično funkcijo za definicije teh funkcij, ne glede na to, ali je `OPENSSL_NO_DEPRECATED_3_1` definiran. Zato lahko uporabniki `DEFINE_LHASH_OF` začnejo prejemati opozorila o zastarelosti teh funkcij, ne glede na to, ali jih uporabljajo. Priporočljivo je, da uporabniki preidejo na nov makro, `DEFINE_LHASH_OF_EX`.
Končno, če vas zanima več o tem o tej novi izdaji lahko preverite podrobnosti nal sledim povezavi.