梧州网站建设推广,wordpress 更改标题,百度搜索提交入口,做游戏钓鱼网站概述日前OpenSSL官网公布了未来OpenSSL的架构蓝图。作为战略性的架构目标#xff0c;需要大量的版本迭代本文档概述了OpenSSL战略架构。它需要多个版本的迭代从目前最新的版本1.1开始直到3.0甚至是4.0最终实现。由于版本架构变动非常大#xff0c;涉及大量的变化和迭代#…概述日前OpenSSL官网公布了未来OpenSSL的架构蓝图。作为战略性的架构目标需要大量的版本迭代本文档概述了OpenSSL战略架构。它需要多个版本的迭代从目前最新的版本1.1开始直到3.0甚至是4.0最终实现。由于版本架构变动非常大涉及大量的变化和迭代力争在OpenSSL 3.0.0版本中实现对绝大多数应用程序的影响最小并能高性能的编译迁移。3.0后对目前版本的功能将通过API来实现现有引擎将不再支持。本文虫虫和大家一起来学习OpenSSL的现有架构、存在问题新架构、特点实现等。现有架构当前版本OpenSSL提供的功能主要通过四个主要组件提供1. libcrypto加密库。该库提供了大量加密算法的实现。另外提供libssl和libcrypto使用支持服务以及CMS和OCSP等协议的实现。2.引擎。 libcrypto的功能可以通过Engine API进行扩展。引擎是可动态加载的模块它们向libcrypto注册并使用可用的钩子来提供加密算法实现。通常这些hook由libcrypto提供的算法的替代实现(例如用于实现算法的硬件加速)还包括默认未在OpenSSL中实现的算法。引擎作为OpenSSL发行版的一部分提供未实现的引擎则通过外部第三方提供。3.libssl。该库依赖于libcrypto并实现TLS和DTLS协议。4.应用程序。应用程序是一组命令行工具这些工具使用底层的libssl和libcrypto库来提供一系列的加密和其他功能密钥和参数的生成和检查证书生成和检查SSL/TLS测试工具集ASN.1检查其他等。现有架构的特点和问题目前版本的OpenSSL具有以下特征和问题1.EVP层。EVP在API级别提供与具体加密功能实现和打包分开的的高级抽象接口。EVP层还提供复合操作例如签名和验证的打包。一些复合操作也EVP级操作提供(例如HMAC-SHA256)。EVP还允许使用算法无关的方式使用加密算法(例如EVP_DigestSign适用于RSA和ECDSA算法)。2.不支持FIPS140。 FIPS140只能在OpenSSL-1.0.2中使用它早于目前架构不兼容API或ABI。架构图现有的体系结构是一个简单的4级分层底部为引擎层和算法层。 TLS层依赖于加密层应用程序依赖于TLS和加密层。注意图中组件的存在并不表示该组件是公共API或旨在供最终用户直接访问或使用。打包图以上的各层的功能和组件都被打包到了基础库(libcrypto和libssl)以及相关的引擎接口以及用于运行各种应用程序实现的openssl命令行可执行文件。打包图如下所示。新架构新架构的特点新架构的的目的是优化现有架构新架构由一下功能组成1、核心服务由应用程序和应用程序提供器使用的构建块组成。 (例如BIOX509SECMEMASN1等)。2、提供器实现加密算法和支持服务。提供器由以下一个或多个功能的组合算法的加密子例如如何加密/解密/签名/哈希等算法的序列化例如如何将私钥转换为PEM文件。序列化当前支持的格式或者不支持的格式的扩展。存储加载后端。 OpenSSL目前有一个存储加载程序可以从文件中读取密钥参数和其他项。提供器可以从另一个位置(例如LDAP目录)加载加载器。提供器可以是完全独立的也可以使用由不同提供器或核心服务提供的服务。例如应用程序可以使用一个加密原子实现由硬件加速提供程序实现的算法但是其他程序提供的序列化服务把密钥导出为PKCS12格式。程序默认内置一个提供器(包含由当前OpenSSL加密算法实现的核心)但其他提供器可以在在运行时动态加载。旧提供器模块将为较旧的算法(例如DESMDC2MD2BlowfishCAST)提供加密实现。 OMC会发布一个策略说明从旧提供器转化到默认提供器的时间和迁移方法。FIPS提供器内嵌的OpenSSL FIPS加密模块可以在运行时动态加载。3、核心实现对默认应用程序提供器(和其他提供商)提供的服务器的访问。提供器负责为Core提供服务和方法。Core将实现基于属性的查找功能用于算法查找例如通过fips true或keysize 128constant_time true这样条件来搜索算法。4、协议的实现。例如。 TLSDTLS。新架构的特点1、EVP层功能缩减仅仅对提供器提供的服务进行打包。大多数功能将直接调用没有或者很少的预处理和后处理。2、将提供新的EVP API用来查找Core中提供给特定EVP调用的算法的实现。信息将以与实现无关的方式在核心库和提供者之间传递。3、旧API将被删除(例如绕过EVP层的底层API)。4、OpenSSL FIPS加密模块将由动态加载的提供器实现并且自包含只依赖于核心提供的系统运行时库和服务。5、其他接口也可能会随着时间的推移而转换到核心库。6、引擎功能由提供器取代。架构图OpenSSL新架构图如下图所示。上图中显示的组件如下1、应用程层命令行应用程序例如cacipherscmsdgst等2、协议提供根据标准协议在端点之间进行通信的功能TLS协议所有支持的TLS/DTLS协议和支持基础设施的实现例如SSLBIO使用TLS进行通信的BIOStatemTLS状态机RECORDTLS记录层其他协议CMS加密消息语法标准的实现OCSP在线证书状态协议的实现TS时间戳协议的实现支持服务用于支持协议代码实现的组件Packet用于读取协议消息的内部组件Wpacket用于编写协议消息的内部组件3、核心这是将服务请求(例如加密)关联到该服务的提供器的基础组件。核心实现了提供器的注册几附属参数的设置。它还支持通过对给定服务属性进行服务的搜索功能。例如加密服务的属性可能包括aeadaes-gcmfipssecurity-bits 128等。4、默认提供器实现核心启动时默认注册服务。支持服务低层实现这是实际实现加密算法的一组组件。5、FIPS提供器实现一组经过FIPS验证并可供核心使用的服务。包括以下支持的服务POST开机自检KAT已知的答案测试完整性检查等等6、旧提供器提供通过EVP级API公开的旧算法的实现为向后兼容提供服务。7、第三方提供器不属于OpenSSL发行版。第三方可以实施自己的提供者。8、公共服务这部分构成了应用程序和提供器可用的构建块。 (例如BIOX509SECMEMASN1等)。9、旧版API。 低层API。这里的特指老API而不是算法本身。例如AES不是老算法但它还在老API中(例如AES_encrypt)。打包图以上的架构图提供各种组件都会打包到一下文件打包图如下可执行的应用程序供用户使用应用程序使用的库可动态加载的模块供核心使用。图中涉及的包有Openssl可执行文件。命令行应用程序。libssl。这包含与TLS和DTLS直接相关的所有内容。它的内容与现有架构中的libssl大致相同某些支持服务将移至libcrypto。Libcrypto。该库包含以下组件核心服务的实现例如X509ASN1EVPOSSL_STORE等核心与TLS或DTLS无关的协议协议支持服务(例如Packet和Wpacket)默认提供程序包含所有默认算法的实现Libcrypto旧程序。提供兼容老程序的底层API。这些APIS算法的实现可能来自任何提供器。FIPS模块。它包含FIPS提供器程序该提供程序实现一组经过FIPS验证并在核心中注册的服务。旧模块。这包含旧版提供器程序。
