Openssl är ett api som ger en lämplig miljö för att kryptera data som skickas
Efter ett och ett halvt år av utveckling och flera korrigerande versioner i den tidigare versionen, lanseringen av den nya versionen av biblioteket "OpenSSL 3.1.0" med implementering av SSL/TLS-protokoll och olika krypteringsalgoritmer.
Stödet för denna nya version av OpenSSL 3.1 kommer att fortsätta till mars 2025, medan stödet för äldre OpenSSL-versioner 3.0 och 1.1.1 kommer att fortsätta till september 2026 respektive september 2023.
För de som inte är medvetna om OpenSSL bör de veta det detta är ett gratis programvaruprojekt baserat på SSLeay, som består av ett robust paket med kryptografirelaterade bibliotek och administrationsverktyg, som tillhandahåller kryptografiska funktioner till andra paket som OpenSSH och webbläsare (för säker åtkomst till HTTPS-webbplatser).
Dessa verktyg hjälper systemet att implementera Secure Sockets Layer (SSL) såväl som andra säkerhetsrelaterade protokoll som Transport Layer Security (TLS). OpenSSL låter dig också skapa digitala certifikat som kan appliceras på en server, till exempel Apache.
OpenSSL används i krypterad validering mailklienter, webbaserade transaktioner för kreditkortsbetalningar och i många fall i system som kräver säkerhet för den information som kommer att exponeras på nätet "konfidentiell data".
De viktigaste nya funktionerna i OpenSSL 3.1.0
I den här nya versionen av OpenSSL 3.1.0 markeras det att FIPS-modul implementerar stöd för kryptografiska algoritmer som uppfyller säkerhetsstandarden FIPS 140-3, Förutom det modulcertifieringsprocessen har startat för att erhålla FIPS 140-3-certifiering.
Det nämns att tills certifieringen är klar efter uppdatering av OpenSSL till filial 3.1 kan användare fortsätta att använda en FIPS 140-2-certifierad FIPS-modul. Av ändringarna i den nya versionen av modulen sticker införandet av Triple DES ECB, Triple DES CBC och EdDSA-algoritmerna ut, som ännu inte har testats för överensstämmelse med FIPS-kraven. Även i den nya versionen har optimeringar gjorts för att förbättra prestandan och en övergång har gjorts för att köra interna tester med varje modulladdning, och inte bara efter installationen.
En annan förändring som sticker ut är att gjorde en ändring av standardsaltlängden för PKCS#1 RSASSA-PSS-signaturer till den maximala storleken som är mindre än eller lika med sammanfattningslängden att uppfylla
FIPS 186-4. Detta implementeras av ett nytt alternativ `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` ("auto-digestmax") för parametern `rsa_pss_saltlen`, som nu är standard.
Förutom det, OSSL_LIB_CTX-koden har omarbetats, det nya alternativet är fritt från onödiga lås och möjliggör högre prestanda.
Tambien förbättrad prestanda för kodar- och avkodarramverk framhävs, samt en prestandaoptimering gjord relaterad till användningen av interna strukturer (hash-tabeller) och cachning och även en förbättrad hastighet för RSA-nyckelgenerering i FIPS-läge.
algoritmer AES-GCM, ChaCha20, SM3, SM4 och SM4-GCM har optimeringar assembler-paket för olika processorarkitekturer. Till exempel accelereras AES-GCM-koden av instruktionerna AVX512 vAES och vPCLMULQDQ.
Har lagts till stöd för KMAC-algoritmen (KECCAK Message Authentication Code) till KBKDF (Key-Based Key Derivation Function), plus flera "OBJ_*"-funktioner har anpassats för användning i flertrådad kod.
Lade till möjligheten att använda RNDR-instruktionen och RNDRRS-registren tillgängliga på processorer baserade på AArch64-arkitekturen för att generera pseudoslumptal.
Å andra sidan nämns det att makrot `DEFINE_LHASH_OF` nu är utfasat till förmån för makrot `DEFINE_LHASH_OF_EX`, som utelämnar motsvarande typspecifika funktion för definitioner av dessa funktioner, oavsett om `OPENSSL_NO_DEPRECATED_3_1` är definierad. Det är därför användare av `DEFINE_LHASH_OF` kan börja få utfasningsvarningar för dessa funktioner oavsett om de använder dem. Det rekommenderas att användare går över till det nya makrot, `DEFINE_LHASH_OF_EX`.
Slutligen, om du är intresserad av att veta mer om det om den här nya versionen kan du kontrollera detaljerna påföljande länk.