O OpenSSL 3.1 recebe melhorias de desempenho e correções, confira.
OpenSSL 3.1 com desempenho otimizado
OpenSSL é uma implementação de código aberto dos protocolos SSL e TLS. A biblioteca implementa as funções básicas de criptografia e disponibiliza várias funções utilitárias. Também estão disponíveis wrappers que permitem o uso desta biblioteca em várias outras linguagens. Wikipédia
Destaques
- Adicionar opção de configuração do provedor FIPS para impor o Verificação do Segredo Mestre Estendido (EMS) durante o TLS1_PRF KDF. A opção '-ems-check' pode opcionalmente ser fornecida para openssl fipsinstall'.
- O provedor FIPS inclui alguns algoritmos não aprovados para fins de compatibilidade com versões anteriores e a consulta de propriedade "fips=yes" deve ser usado para todas as buscas de algoritmo para garantir a conformidade com o FIPS.
- Os algoritmos incluídos mas não aprovados são Triple DES ECB, Triplo DES CBC e EdDSA.
- Adicionado suporte para KMAC em KBKDF.
- Suporte RNDR e RNDRRS em funções de provedor para fornecer geração de números aleatórios para CPUs Arm (aarch64).
- Os aplicativos s_client e s_server agora dizem explicitamente quando a versão TLS não inclui o mecanismo de renegociação. Isso evita confusão entre esse cenário versus quando a versão TLS inclui segurança renegociação, mas o par não tem suporte para isso.
- AES-GCM habilitado com AVX512 vAES e vPCLMULQDQ.
- As várias funções OBJ_* foram tornadas thread-safe.
- Exponenciação modular paralela dual-prime de 1536/2048 bits para Processadores compatíveis com AVX512_IFMA.
- As funções `OPENSSL_LH_stats`, `OPENSSL_LH_node_stats`, `OPENSSL_LH_node_usage_stats`, `OPENSSL_LH_stats_bio`, `OPENSSL_LH_node_stats_bio` e `OPENSSL_LH_node_usage_stats_bio` agora são marcado como obsoleto do OpenSSL 3.1 em diante e pode ser desabilitado definindo `OPENSSL_NO_DEPRECATED_3_1`.
- Ao gerar parâmetros DH de prime seguro, defina a chave privada recomendada comprimento equivalente aos comprimentos mínimos de chave conforme RFC 7919.
- Altere o comprimento salt padrão para assinaturas PKCS#1 RSASSA-PSS para o tamanho máximo que é menor ou igual ao tamanho do resumo para cumprir FIPS 186-4 seção 5. Isso é implementado por uma nova opção `OSSL_PKEY_RSA_PSS_SALT_LEN_AUTO_DIGEST_MAX` ("auto-digestmax") para o parâmetro `rsa_pss_saltlen`, que agora é o padrão. Assinatura a verificação não é afetada por essa alteração e continua a funcionar como antes.
Comentários
Postar um comentário
olá, seja bem vindo ao Linux Dicas e suporte !!