openssl不是内部或外部命令_OpenSSL新架构蓝图
概述
日前OpenSSL官网公布了未来OpenSSL的架构蓝图。作为战略性的架构目标,需要大量的版本迭代本文档概述了OpenSSL战略架构。它需要多个版本的迭代从目前最新的版本1.1开始直到3.0甚至是4.0最终实现。由于版本架构变动非常大,涉及大量的变化和迭代,力争在OpenSSL 3.0.0版本中实现对绝大多数应用程序的影响最小,并能高性能的编译迁移。3.0后对目前版本的功能将通过API来实现,现有引擎将不再支持。本文虫虫和大家一起来学习OpenSSL的现有架构、存在问题,新架构、特点,实现等。
现有架构
当前版本OpenSSL提供的功能主要通过四个主要组件提供:
1. libcrypto加密库。该库提供了大量加密算法的实现。另外提供libssl和libcrypto使用支持服务,以及CMS和OCSP等协议的实现。
2.引擎。 libcrypto的功能可以通过Engine API进行扩展。引擎是可动态加载的模块,它们向libcrypto注册并使用可用的钩子来提供加密算法实现。通常这些hook由libcrypto提供的算法的替代实现(例如,用于实现算法的硬件加速),还包括默认未在OpenSSL中实现的算法。引擎作为OpenSSL发行版的一部分提供,未实现的引擎则通过外部第三方提供。
3.libssl。该库依赖于libcrypto并实现TLS和DTLS协议。
4.应用程序。应用程序是一组命令行工具,这些工具使用底层的libssl和libcrypto库来提供一系列的加密和其他功能:
密钥和参数的生成和检查;
证书生成和检查;
SSL/TLS测试工具集;
ASN.1检查;
其他等。
现有架构的特点和问题
目前版本的OpenSSL具有以下特征和问题:
1.EVP层。
EVP在API级别提供与具体加密功能实现和打包分开的的高级抽象接口。
EVP层还提供复合操作,例如签名和验证的打包。一些复合操作也EVP级操作提供(例如HMAC-SHA256)。
EVP还允许使用算法无关的方式使用加密算法(例如,EVP_DigestSign适用于RSA和ECDSA算法)。
2.不支持FIPS140。
FIPS140只能在OpenSSL-1.0.2中使用,它早于目前架构,不兼容API或ABI。
架构图
现有的体系结构是一个简单的4级分层,底部为引擎层和算法层。 TLS层依赖于加密层,应用程序依赖于TLS和加密层。
注意:图中组件的存在并不表示该组件是公共API或旨在供最终用户直接访问或使用。
打包图
以上的各层的功能和组件都被打包到了基础库(libcrypto和libssl)以及相关的引擎接口以及用于运行各种应用程序实现的"openssl"命令行可执行文件。打包图如下所示。
新架构
新架构的特点
新架构的的目的是优化现有架构,新架构由一下功能组成:
1、核心服务由应用程序和应用程序提供器使用的构建块组成。 (例如BIO,X509,SECMEM,ASN1等)。
2、提供器实现加密算法和支持服务。提供器由以下一个或多个功能的组合:
算法的加密子,例如如何加密/解密/签名/哈希等
算法的序列化,例如如何将私钥转换为PEM文件。序列化当前支持的格式或者不支持的格式的扩展。
存储加载后端。 OpenSSL目前有一个存储加载程序,可以从文件中读取密钥,参数和其他项。提供器可以从另一个位置(例如LDAP目录)加载加载器。
提供器可以是完全独立的,也可以使用由不同提供器或核心服务提供的服务。
例如,应用程序可以使用一个加密原子实现由硬件加速提供程序实现的算法,但是其他程序提供的序列化服务把密钥导出为PKCS#12格式。
程序默认内置一个提供器(包含由当前OpenSSL加密算法实现的核心),但其他提供器可以在在运行时动态加载。
旧提供器模块将为较旧的算法(例如,DES,MDC2,MD2,Blowfish,CAST)提供加密实现。 OMC会发布一个策略,说明从旧提供器转化到默认提供器的时间和迁移方法。
FIPS提供器内嵌的OpenSSL FIPS加密模块可以在运行时动态加载。
3、核心实现对默认应用程序提供器(和其他提供商)提供的服务器的访问。提供器负责为Core提供服务和方法。
Core将实现基于属性的查找功能,用于算法查找,例如通过"fips = true"或"keysize = 128,constant_time = true"这样条件来搜索算法。
4、协议的实现。例如。 TLS,DTLS。
新架构的特点:
1、EVP层功能缩减,仅仅对提供器提供的服务进行打包。大多数功能将直接调用,没有或者很少的预处理和后处理。
2、将提供新的EVP API用来查找Core中提供给特定EVP调用的算法的实现。
信息将以与实现无关的方式在核心库和提供者之间传递。
3、旧API将被删除(例如绕过EVP层的底层API)。
4、OpenSSL FIPS加密模块将由动态加载的提供器实现,并且自包含,只依赖于核心提供的系统运行时库和服务。
5、其他接口也可能会随着时间的推移而转换到核心库。
6、引擎功能由提供器取代。
架构图
OpenSSL新架构图如下图所示。
上图中显示的组件如下:
1、应用程层:命令行应用程序,例如ca,ciphers,cms,dgst等
2、协议:提供根据标准协议在端点之间进行通信的功能
TLS协议:所有支持的TLS/DTLS协议和支持基础设施的实现,例如:
SSLBIO:使用TLS进行通信的BIO
Statem:TLS状态机
RECORD:TLS记录层
其他协议:
CMS:加密消息语法标准的实现
OCSP:在线证书状态协议的实现
TS:时间戳协议的实现
支持服务:用于支持协议代码实现的组件
Packet:用于读取协议消息的内部组件
Wpacket:用于编写协议消息的内部组件
3、核心:这是将服务请求(例如加密)关联到该服务的提供器的基础组件。核心实现了提供器的注册几附属参数的设置。它还支持通过对给定服务属性进行服务的搜索功能。例如,加密服务的属性可能包括"aead","aes-gcm","fips","security-bits = 128"等。
4、默认提供器:实现核心启动时默认注册服务。
支持服务
低层实现:这是实际实现加密算法的一组组件。
5、FIPS提供器:实现一组经过FIPS验证并可供核心使用的服务。包括以下支持的服务:
POST:开机自检
KAT:已知的答案测试
完整性检查等等
6、旧提供器:提供通过EVP级API公开的旧算法的实现,为向后兼容提供服务。
7、第三方提供器:不属于OpenSSL发行版。第三方可以实施自己的提供者。
8、公共服务:这部分构成了应用程序和提供器可用的构建块。 (例如BIO,X509,SECMEM,ASN1等)。
9、旧版API。 低层API。这里的特指老API,而不是算法本身。例如,AES不是老算法,但它还在老API中(例如AES_encrypt)。
打包图
以上的架构图提供各种组件都会打包到一下文件,打包图如下:
可执行的应用程序供用户使用;
应用程序使用的库;
可动态加载的模块供核心使用。
图中涉及的包有:
Openssl可执行文件。命令行应用程序。
libssl。这包含与TLS和DTLS直接相关的所有内容。它的内容与现有架构中的libssl大致相同,某些支持服务将移至libcrypto。
Libcrypto。该库包含以下组件:
核心服务的实现,例如:X509,ASN1,EVP,OSSL_STORE等
核心
与TLS或DTLS无关的协议
协议支持服务(例如Packet和Wpacket)
默认提供程序,包含所有默认算法的实现
Libcrypto旧程序。提供兼容老程序的底层API。这些APIS算法的实现可能来自任何提供器。
FIPS模块。它包含FIPS提供器程序,该提供程序实现一组经过FIPS验证并在核心中注册的服务。
旧模块。这包含旧版提供器程序。
openssl不是内部或外部命令_OpenSSL新架构蓝图相关推荐
- jdk12‘javac‘ 不是内部或外部命令,也不是可运行的程序 或批处理文件。
前言: 安装JDK12遇到的问题以及学习过程, 我第一次用网上的安装办法,下载EXE后,配置好三个环境变量后运行,不行. 解决过程: 问题1:安装后javac命令运行时报错 jdk12'javac' ...
- vue 不是内部或外部命令,也不是可运行的程序 或批处理文件
vue 安装 vue-cli 成功之后 控制台查看vue的版本 提示 vue 不是内部或外部命令,也不是可运行的程序 或批处理文件 我的问题 就环境变量没有配置 下面以window 10 系统说下我的 ...
- 安装需要的第三方库时,命令行输入pip提示不是内部或外部命令
简介 在做Python开发时,安装需要的第三方库时,大多数人喜欢选择在命令行用pip进行安装. 然而有时敲入pip命令会提示'pip'不是内部或外部命令..如图: 解决办法 1.在python安装目录 ...
- ‘vue-cli-service‘ 不是内部或外部命令,也不是可运行的程序
从github上面下载了一个项目,在本地执行 但是一直出现这样的错误 vue-cli-service 不是内部命令 > vue-cli-service serve'vue-cli-service ...
- wsimport 不是内部或外部命令,也不是可运行的程序或批处理文件
我的是windows10系统,在生成webservice代码的时候提示这个错误: wsimport 不是内部或外部命令,也不是可运行的程序或批处理文件 看到网上各种帖子,各位大神都是认为Jdk的环境部 ...
- 不是内部或外部命令 windows10 执行 linux命令
不是内部或外部命令 windows10 执行 linux命令 打开 PowerShell 输入linux命令
- “adb不是内部或外部命令,也不是可执行的应用程序”错误原因及解决方法
用SQLite时,可能会出现这样的错误. 原因可能是环境变量PATH没有配置或配置不正确.应该把adb.exe 所在目录加入到PATH环境变量.例如:C:\Program Files\android- ...
- win10配置java环境变量,解决javac不是内部或外部命令等问题
win10配置java环境变量,解决javac不是内部或外部命令等问题 * 1,首先进入环境变量页面 2,在系统变量下面配置 JAVA_HOME:你自己的jdk的路径 CLASSPATH= .;%J ...
- android的dmtracedump工具生成trace文件图片 'dot' 不是内部或外部命令,也不是可运行的程序 或批处理文件。
http://jingyan.baidu.com/article/c910274bfa6c1fcd361d2df7.html http://www.cnblogs.com/albert1017/p/3 ...
最新文章
- 从 pheatmap 无缝迁移至 ComplexHeatmap
- 入侵检测系统基础知识
- 登录页面和FORM的职责不对称,处理方法,刷新工作流程
- 基础知识(9)- Swing用户界面组件
- horizon client长时间不操作不断开_动挡操作禁忌,伤车只在一瞬间!否则变速箱会提前...
- ser crt linux 乱码,大师为你解决securecrt中文乱码【处理指南】
- python 24位图转 8位_Python爬取PPT模板小工具下载-Python爬取PPT模板小工具免费版下载v1.0...
- 将List集合用字符串,逗号隔开进行拼接 ,五种方法
- python的reader函数读取的信息包括抬头嘛_Python读取数据文件的方法
- “智慧城市”如火如荼 与“数字城市”又有何差别?
- charles windows版使用教程
- 轻松搞懂【TF-IDF、word2vec、svm、cnn、textcnn、bilstm、cnn+bilstm、bilstm+attention实现】英文长文本分类
- 微信公众号迁移函、公证所需资料与流程
- Exception evaluating SpringEL expression异常处理
- lua web快速开发指南(7) - 高效的接口调用 - httpc库
- Pinbox 一款极简主义风格的网络收藏夹
- java rewind()_Java NIO Buffer的clear()、reset()、rewind()、flip()方法的区别
- App渠道统计方法全面解析 总有一种适合你
- 信用卡使用的诸多误区、技巧
- PLC++控制程序精编108例pdf
热门文章
- oracle数据库升级失败,Oracle 11.2.0.1 rac 升级失败后,数据库降级方案(flashback database)...
- 前端工业物联网开发(Electron + Typescript + Vue)
- AUTOSAR从入门到精通100讲(二十七)-DoIP远程诊断及与UdsOnCan的比较
- 谁能跳出数字化系统困境?
- 同步方法 调用异步防范_.NET Web应用中为什么要使用async/await异步编程?
- html模块殃射,【Web前端问题】webpack打包后,module模块中的函数无法在html标签的事件中调用?...
- java后端工程师平时开发或多或少会用到Myeclipse,那么它有哪些快捷键呢
- 数据类型转换为false的有哪些?
- cmake 构建路径_新手必备:win10 系统下 VSCode+CMake+Clang+GCC 环境的搭建
- PHPcms框架的Webshell