O OpenSSL 3.1 recebe melhorias de desempenho e correções, confira.

OpenSSL 3.1 com desempenho otimizado

OpenSSL é uma implementação de código aberto dos protocolos SSL e TLS. A biblioteca implementa as funções básicas de criptografia e disponibiliza várias funções utilitárias. Também estão disponíveis wrappers que permitem o uso desta biblioteca em várias outras linguagens. Wikipédia

Destaques

• Adicionar opção de configuração do provedor FIPS para impor o Verificação do Segredo Mestre Estendido (EMS) durante o TLS1_PRF KDF. A opção '-ems-check' pode opcionalmente ser fornecida para openssl fipsinstall'.

• O provedor FIPS inclui alguns algoritmos não aprovados para fins de compatibilidade com versões anteriores e a consulta de propriedade "fips=yes" deve ser usado para todas as buscas de algoritmo para garantir a conformidade com o FIPS.

• Os algoritmos incluídos mas não aprovados são Triple DES ECB, Triplo DES CBC e EdDSA.

• Adicionado suporte para KMAC em KBKDF.

• Suporte RNDR e RNDRRS em funções de provedor para fornecer geração de números aleatórios para CPUs Arm (aarch64).

• Os aplicativos s_client e s_server agora dizem explicitamente quando a versão TLS não inclui o mecanismo de renegociação. Isso evita confusão entre esse cenário versus quando a versão TLS inclui segurança renegociação, mas o par não tem suporte para isso.

• AES-GCM habilitado com AVX512 vAES e vPCLMULQDQ.

• As várias funções OBJ_* foram tornadas thread-safe.

• Exponenciação modular paralela dual-prime de 1536/2048 bits para Processadores compatíveis com AVX512_IFMA.

• As funções `OPENSSL_LH_stats`, `OPENSSL_LH_node_stats`, `OPENSSL_LH_node_usage_stats`, `OPENSSL_LH_stats_bio`, `OPENSSL_LH_node_stats_bio` e `OPENSSL_LH_node_usage_stats_bio` agora são marcado como obsoleto do OpenSSL 3.1 em diante e pode ser desabilitado definindo `OPENSSL_NO_DEPRECATED_3_1`.

• Ao gerar parâmetros DH de prime seguro, defina a chave privada recomendada comprimento equivalente aos comprimentos mínimos de chave conforme RFC 7919.

• Altere o comprimento salt padrão para assinaturas PKCS#1 RSASSA-PSS para o tamanho máximo que é menor ou igual ao tamanho do resumo para cumprir FIPS 186-4 seção 5. Isso é implementado por uma nova opção `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` ("auto-digestmax") para o parâmetro `rsa_pss_saltlen`, que agora é o padrão. Assinatura a verificação não é afetada por essa alteração e continua a funcionar como antes.

Fonte