OpenSSL 战略架构

最新推荐文章于 2024-07-21 18:15:30 发布
最新推荐文章于 2024-07-21 18:15:30 发布
阅读量178 收藏 1
点赞数
文章标签: 架构
原文链接:https://www.openssl.org/docs/OpenSSLStrategicArchitecture.html
版权
本文概述了OpenSSL从1.1.1架构向未来目标架构的转型,强调了3.0.0版本对现有应用影响小,核心变化涉及引擎至provider接口,以及加密、TLS协议的更新,FIPS140支持减弱。
摘要由CSDN通过智能技术生成

介绍

该文件概述了OpenSSL的战略架构。从3.0.0版本开始,将需要多个发布版本来将当前的“现状”(1.1.1)架构迁移到未来的“目标”架构。

未来的架构预计会有大量变化。我们将提供处理最终过渡的迁移路径。OpenSSL 3.0.0版本对绝大多数现有应用程序的影响将很小,几乎所有良好的应用程序只需要重新编译即可。

随着时间的推移,当前通过引擎(engine) 接口提供的功能将替换为通过 provider 提供的接口。OpenSSL 3.0.0 将继续支持引擎(engine)。未来的架构最早要到 OpenSSL 4.0.0 才能完全实现。

当前架构

目前,OpenSSL 分为四个主要组件:

  • libcrypto:这是用于提供大量加密原语实现的核心库。此外,它还提供了一组由 libssl 和 libcrypto 使用的支持服务,以及 CMS 和 OCSP 等协议的实现。

  • 引擎:通过引擎API,可以扩展libcrypto的功能。

    通常情况下,引擎是动态可加载的模块,注册到libcrypto,并利用可用的钩子提供加密算法的实现。通常这些是对libcrypto已有算法的替代实现(例如,用于实现算法的硬件加速),但它们也可以包括默认OpenSSL中未实现的算法(例如,GOST引擎实现了GOST算法系列)。一些引擎是作为OpenSSL发行版的一部分提供的,而一些是由外部第三方提供的(同样是GOST)。

  • libssl:这个库依赖于libcrypto,并实现了TLS和DTLS协议。

  • 应用程序:这些应用程序是一组命令行工具,使用底层的libssl和libcrypto组件,提供一系列的加密和其他功能,比如:

    a. 密钥和参数的生成与检查

    b. 证书的生成与检查

    c. SSL/TLS测试工具

    d. ASN.1检查

    e. 等等

OpenSSL目前具有以下特点:

  1. EVP:EVP(envelope)API层提供了高级抽象接口,可将加密功能与具体的实现绑定分开。不鼓励通过EVP层之外的接口直接使用具体的加密算法实现。EVP层还提供了签名和验证等组合操作。某些组合操作也作为EVP层操作提供(如HMAC-SHA256)。EVP还允许以与算法无关的方式使用加密算法(例如,EVP_DigestSign适用于RSA和ECDSA算法)。

  2. 不支持FIPS 140。FIPS 140仅在OpenSSL-1.0.2中可用,它早于现行架构,不兼容API或ABI。

概念组件视图

现有架构是一个简单的4层分层结构,加密层位(crypto layer)于最底层。TLS层依赖于加密层,而应用程序则依赖于TLS和加密层。

注意:图中存在的组件并不表示该组件是公共API或用于最终用户直接访问或使用的。

在这里插入图片描述

包视图

上述组件被打包成库(libcrypto和libssl)和相关的引擎接口,以及一个名为“openssl”的命令行可执行文件,用于运行各种应用程序。下面的图示说明了这一点。
在这里插入图片描述

未来架构

未来架构具有以下特点:

  • 核心服务是应用程序和提供者可用的构建模块(例如BIO、X509、SECMEM、ASN1等)。

  • 提供者(provider)实现加密算法和支持服务。提供者可以有以下一项或多项实现:

    • 针对算法的加密原语(cryptographic primitives),例如如何进行加密/解密/签名/哈希等操作。
    • 算法的序列化,例如如何将私钥转换为PEM文件。序列化可以在与当前不支持的格式之间的转换。
    • 存储加载器后端。OpenSSL目前具有从文件中读取密钥、参数和其他项的存储加载器。提供者可以有一个从其他位置(例如LDAP目录)加载的加载器。

提供者可以是完全独立的,也可以使用由不同提供者或核心(Core)服务提供的服务。例如,一个应用程序可以使用由硬件加速提供者(hardware accelerated provider)实现的算法的加密原语,但使用不同提供者的序列化服务,以便将密钥导出为PKCS#12格式。

一个默认提供者(包含当前OpenSSL加密算法实现的核心部分)将被“内置”,但其他提供者可以在运行时动态加载。

传统提供者(Legacy provider)模块将为旧算法提供加密实现(例如DES、MDC2、MD2、Blowfish、CAST)。OMC将发布一个策略,说明何时以及如何将算法从默认提供者迁移到传统提供者。

一个具体实现OpenSSL FIPS加密模块的FIPS提供者可以在运行时动态加载。

  • 核心向应用程序(和其他提供者)提供对提供者所提供服务的访问。提供者向核心提供方法。核心是定位算法等内容的具体实现的机制。

核心将实现基于属性的查找功能,用于查找算法,例如可能允许通过“fips=true”或“keysize=128, constant_time=true”来查找算法。具体细节将在后续的设计文档中确定。

  • 协议实现,例如TLS、DTLS。

待实现的架构具有以下特点:

  • EVP 层成为提供程序中实现的服务的精简包装器。大多数呼叫都是直接传递的,很少/没有预处理或后处理。

  • 将提供新的EVP API,以便在核心中找到可用于任何给定EVP调用的算法实现。

  • 将以实现无关的方式在核心库与提供者之间传递信息。

  • 将弃用传统API(例如,不通过EVP层的低级加密API)。请注意,存在针对传统算法的传统API(例如,AES是一种非传统算法,但AES_encrypt是一个传统API)。

  • OpenSSL FIPS加密模块将作为一个动态加载的提供者实现。它将是独立的(即,只能依赖系统运行时库和核心提供的服务)。

  • 随着时间的推移,其他接口也可能过渡到使用核心(例如,OSSL_STORE可能会考虑进行这样的过渡)。

引擎的使用将逐步转变为提供者(Providers)。“Bye-bye-Engines, Hello-Providers”.

概念组件视图

以下是OpenSSL待实现架构中概念组件的概述,如下图(粉红色涅槃)所示。

注意:图中组件的存在并不表示该组件是公共API,也不表示其供最终用户直接访问或使用。
在这里插入图片描述

这里所示的组件如下:

  • Applications: 命令行应用程序,例如 ca, ciphers, cms, dgst 等

  • Protocols: 提供根据标准协议在端点之间进行通信的功能

    • TLS 协议:所有支持的 TLS/DTLS 协议的实现以及支持基础设施,例如:
      • SSL BIO: 用于使用 TLS 进行通信的 BIO
      • Statem: TLS 状态机
      • Record: TLS 记录层
    • 其他协议
      • CMS: 密码消息语法(Cryptographic Message Syntax)标准的实现
      • OCSP: 在线证书状态协议(Online Certificate Status Protocol)的实现
      • TS: 时间戳协议的实现
    • Supporting Services: 专门设计以支持协议代码实现的组件
      • Packet: 用于读取协议消息的内部组件
      • Wpacket: 用于写入协议消息的内部组件

  • Core: 这是一个连接服务请求(例如加密)与该服务的提供者的基本组件。它实现了提供者注册其服务以及这些服务的属性的能力。它还提供了根据服务必须满足的一组属性来定位服务的能力。例如,加密服务的属性可能包括 “aead”、 “aes-gcm”、 “fips”、 “security-bits=128” 等。

  • Default Provider: 实现了一组已注册到 Core 的默认服务。

    • Supporting Services
      • 低级别实现: 实际实现密码原语的一组组件。

  • FIPS 提供者: 实现了经过 FIPS 验证的一组服务,并提供给 Core 使用。这包括以下支持服务:

    • POST: 开机自检(Power On Self Test)
    • KAT: 已知答案测试(Known Answer Tests)
    • 完整性检查(Integrity Check)
    • 低级别实现: 实际实现密码原语的一组组件(以符合 FIPS 规定的独立自包含要求)。

  • Legacy Provider: 提供了将通过 EVP 级别 API 公开的旧算法的实现。

  • Third-Party Provider: 不属于 OpenSSL 发行版的第三方提供者。第三方可以实现自己的提供者。

  • Common Services: 这些是应用程序和提供者可用的构建模块(例如 BIO、X509、SECMEM、ASN1 等)。

  • 遗留 API。 “低级” API。 “遗留” 这里指的是 API,而不是算法本身。例如,AES 不是一个遗留算法,但它有一个遗留 API(例如 AES_encrypt)。

包视图

上面概念组件视图中描述的各个组件被物理打包成:

  • 可执行应用程序,供用户使用

  • 用于应用程序的库

  • 用于 Core 的可动态加载模块。

在这里插入图片描述

此处显示的物理包包括:

  • OpenSSL 可执行文件。命令行应用程序。

  • Libssl. 其中包含与 TLS 和 DTLS 直接相关的所有内容。其内容与现有架构中的 libssl 大体相同。请注意,一些支持服务将被移动到 libcrypto 中。

  • Libcrypto. 这个库包含以下部分:

    • 核心服务的实现,如 X509、ASN1、EVP、OSSL_STORE 等
    • 核心(Core)
    • 与 TLS 或 DTLS 无关的协议
    • 协议支持服务(例如 Packet 和 Wpacket)
    • 包含所有默认算法实现的默认提供程序

  • Libcrypto-legacy. 提供遗留的“低级”API。这些API的算法实现可以来自任何提供程序。

  • FIPS 模块. 包含实现了一组经过 FIPS 验证并已在核心中注册的服务的 FIPS 提供程序。

  • 遗留模块(Legacy module). 包含了遗留提供程序。

ref: https://www.openssl.org/docs/OpenSSLStrategicArchitecture.html

maimang09
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL 3.0.0 设计(一)|介绍、术语与架构
u19967317326的博客
07-27 431
这份文件概述了 OpenSSL 3.0 的设计,它是在 1.1.1 版本之后的又一个版本。阅读本文需要您已经熟悉名为“OpenSSL 战略架构”的文件,并具备对 OpenSSL 1.1.x 的工作知识。OpenSSL 3.0 版本对大多数现有应用程序影响很小;几乎所有性能良好的应用程序都只需重新编译即可。OpenSSL 3.0 中的大部分改动都是内部架构重组,以促进建立一个可长期支持的加密框架,从而更好地将算法实现与算法 API 分离开来。
OpenSSL 3.0.0 设计(二)|Core 和 Provider 设计
u19967317326的博客
08-09 426
OpenSSL Core 和 Provider 在保持 OpenSSL 和 Provider 结构不透明的同时需要交换数据,所有复合值将作为项目数组传递,使用附录 2-参数传递(后续将更新)中定义的公共数据结构,参数将使用它们的名称(作为字符串)进行标识,每个参数包含自己的类型和大小信息。Core 将定义一个 API,用于将参数值数组或值请求传递给 Provider 或特定的算法实现,对于后者,还有由该实现处理的相关对象,对于基本机器类型,可以开发宏来辅助构建和提取值。
用C++编译 Openssl Engine及分享一个Openssl Engine框架
10-19
本模板程序定义了实现openssl ENGINE的Engine框架。 实现的基本思路是要通过Engine来替换openssl原来的 ASE-CBC算法和MD5算法。 本程序定义了必须实现的接口。用户只需要根据程序中 的说明,实现相应的接口即可。 实现ENGINE的时候,可以使用CSP。P11或者算法实现的API等。 本模板支持Linux、Windows 、Mac。兼容:openssl1.0和.0.9.8 如果在使用过程中有任何问题。 在windows上编译,使用vc2005或vc2008 在linux下,请运行 make
openssl结构
XFH1207的博客
11-10 542
1. 组成 主要包括三个主要模块: 应用程序 主要包括密钥生成,证书管理,格式转换,数据加密,签名,SSL测试等。 SSL协议库 通过BIO和EVP实现安全套接字的协议。 密码算法库 BIO主要是实现套接字的封装;EVP实现对内部算法的封装。 2. BIO   封装了许多类型I/O接口细节的一种应用接口,可以和SSL连接,非加密的网络连接,文件I/O进行透明的连接。   主要分为两种,source/sink类型,如socket BIO,file BIO;filter类型,将数据从一个BIO转换到另一个B
openssl框架闲谈--总论
Netfilter
02-09 4031
接触openssl已经有一段时间了,我读过很多源码,感觉不错的也就那么几个,linux内核是其中之 一,openssl也是其中之一。openssl说白了不是什么功能性的东西,而是提供了一个支撑性的底层框架,本质上和linux内核一样,但是和 apache有区别,apache明确的实现了一个功能,就是web服务器,而openssl中我认为最重要的就是它提供的BIO框架和EVP框架,与其 说opens
OpenSSL密码库算法笔记——第5.2章 椭圆曲线算法的函数架构
热门推荐
云与山的彼端
03-05 5万+
椭圆曲线算法中涉及的函数纷繁复杂,比如为了实现“复制点群”功能,就定义了四个函数,有: int EC_GROUP_copy (EC_GROUP *dest, const EC_GROUP *src)、 int ec_GFp_mont_group_copy (EC_GROUP *dest, const EC_GROUP *src)、 int ec_GFp_simple_group_copy (...
OpenSSL3.0.12
11-12
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于加密通信、实现网络协议,并提供了各种密码算法、常见的密钥和证书封装管理功能以及 SSL/TLS 协议。OpenSSL 的最新版本是 3.0.12,这是一个重要的...
openssl-windows64
11-08
OpenSSL 是一个强大的安全套接层 (SSL) 和 Transport Layer Security (TLS) 库,用于在互联网上实现安全通信。这个“openssl-windows64”压缩包显然是为64位Windows操作系统设计的OpenSSL版本,主要用途是进行数据...
国密openssl安装包
11-03
国密OpenSSL是一款针对中国国内安全标准定制的加密软件库,它主要是在原有的OpenSSL基础上,集成了中国的国家商用密码算法,如SM2、SM3和SM4等。这些算法在国内被广泛应用于数据加密、数字签名和密钥交换等领域,...
OpenSSL3.0.0静态编译
06-23
OpenSSL 3.0.0 是该库的一个重要版本,引入了多项改进和新特性。在Windows环境下,使用Microsoft Visual Studio 2019 (msvc2019) 进行OpenSSL的静态编译,可以确保编译出的库文件与目标应用程序紧密集成,减少运行时...
openssl-3.0.1
03-05
OpenSSL 3.0.1详解:在Nginx中的应用与安全强化》 OpenSSL,一个强大的安全套接字层密码库,包含了各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序供测试或其他目的使用。其...
OpenSSL 自述
KH_FC的博客
12-20 689
1995 年, Eric A. Young 和 Tim J. Hudson 发明了 SSLeay,它是 SSL(Open-source Secure Sockets) 协议的实现。1998 年,Young 和 Hudson 停止了对 SSLeay 的维护,开始在澳大利亚为 RSA 工作。 后来我便出现了,是基于 SSLeay 重新建立了分支,正式起名为 OpenSSL。我开源而且免费,可以商...
Linux+Open×××+OpenSSL架构成功案例
weixin_34405332的博客
04-19 92
Linux+Open×××+OpenSSL架构成功案例 实验环境:RedHat LinuxAS4 一:获取和安装Open××× 在安装Open×××之前,需要安装一些软件包,其中包括OpenSSL开发库和LZO压缩开发库。软件是:OpenSSL-devel-0.9.7a-43.2.i386.rpm 和 lzo-2.0.9.tar.gz 首先安装O...
浅浅学习一下OpenSSL
xnxqwzy的博客
03-12 813
最近一直不是在做安全相关的东西嘛,签名和加密都要用到秘钥,当时的秘钥都是师兄给我的。自己还没有生成过,于是这里来学习OpenSSL。互联网的发展史上,安全性一直是开发者们相当重视的一个主题,为了实现数据传输安全,我们需要保证:数据来源(非伪造请求)、数据完整性(没有被人修改过)、数据私密性(密文,无法直接读取)等。虽然现在已经有SSL/TLS协议实现的HTTPS协议,但是因在客户端上依赖浏览器的正确实现,而且效率又很低,所以一般的敏感数据(如交易支付信息等)还是需要我们使用加密方法来手动加密。
nodejs升级引起的构建错误:0308010C:digital envelope routines::unsupported
jimojianghu的专栏
02-22 1万+
本文详细描述了nodejs升级后引起的前端老旧项目中构建工具生成hash报错的问题(0308010C:digital envelope routines::unsupported),以及给出的几种解决方案。这几种解决方案各自都存在一些不完美的地方,但都能解决当前构建错误,可以根据自己的实际需求来确定使用哪种方案。
openssl
嵌入式技术
05-19 217
Linux下OpenSSL静态库编译及使用
OpenSSL的源码
dananhai381的专栏
01-09 1568
SSL是Secure Socket Layer(安全套接层协议)的缩写,目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。改协议能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。 OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。OpenSSL的目录结构自然也是围绕这三个功能部分进行
kafka架构+原理+源码
最新发布
JavaCoder_juejue的博客
07-21 1160
1.kafka架构图 2.kafka producer
openssl架构
03-16
OpenSSL是一个开源的软件库,提供了一系列的加密和安全功能。它的架构图如下: 1. 应用程序层:应用程序层是使用OpenSSL库的最高层,包括各种应用程序和工具,如Web服务器、邮件服务器等。 2. SSL/TLS协议层:SSL/TLS协议层是OpenSSL的核心部分,提供了安全通信的功能。它包括SSL/TLS协议的实现,用于建立安全连接、进行握手、加密和解密数据等。 3. 密码学算法层:密码学算法层提供了各种加密算法和哈希算法的实现,包括对称加密算法(如AES、DES)、非对称加密算法(如RSA、Diffie-Hellman)和哈希算法(如MD5、SHA)等。 4. 随机数生成器层:随机数生成器层负责生成安全的随机数,用于加密算法和密钥生成等。 5. X.509证书和密钥管理层:X.509证书和密钥管理层用于管理数字证书和密钥,包括证书的生成、签名、验证,以及密钥的生成、存储和使用等。 6. 网络协议支持层:网络协议支持层提供了对各种网络协议的支持,包括TCP/IP、UDP等,以便OpenSSL可以在不同的网络环境中使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值