BabaSSL 釋出 8.3.0|實現相應隱私計算的需求

SOFAStack發表於2022-03-08

BabaSSL 8.3.0 穩定版本釋出!

密碼學開源專案 BabaSSL 近日釋出了 8.3.0 穩定版本,該版本中提供了若干 bug 修復以及較多的新特性支援。

從具體特性角度來看,BabaSSL 8.3.0 版本在國際前沿技術標準、國內密碼合規能力以及國密演算法的效能優化上均進行了能力的提升。其中:

前沿技術標準:

RFC8879 所定義的 TLS 證書壓縮功能為 TLS 握手帶來了很大的效能提升、進一步降低了 TLS 加密通訊時的延遲,對於提升使用者體驗起到了很好的增強,可直接降低 TLS 握手頻寬 80% 以上。

國內密碼合規能力:

支援 NTLS session ticket、客戶端認證以及 RSA_SM4 加密套件,為目前國內各行業也在進行的國密改造提供了功能上的大力支援;

而對國密合規的軟隨機數生成器的支援,更是滿足了國密改造過程中的合規性要求。

國密演算法效能優化:

此次 BabaSSL 連同 ARM、阿里雲對國密 SM3 和 SM4 演算法在 ARM v8 架構上進行了特殊硬體指令的優化,使得 BabaSSL 在具備相關指令集的 ARM 架構 CPU 上可以取得更好的 SM3 和 SM4 的計算效能。

例如,在阿里雲倚天 710上,SM3 獲得最高 74% 以及 SM4 演算法最高 36 倍的效能提升;此外,SM4 演算法邏輯的 C 語言優化,也實現了在通用 CPU 上效能的提升。

BabaSSL 8.3.0 主要存在如下方面的更新:

  • 修復 CVE-2021-4160
  • openssl enc 命令支援 wrap 模式
  • ASYNC: 支援 job 的巢狀
  • 支援 TLS 證書壓縮 (RFC 8879)
  • 發行版上游 patch 集合合併 [hustliyilin]
  • 支援 NTLS session ticket
  • 支援祖沖之訊息完整性演算法 128-EIA3
  • 支援 NTLS 客戶端認證
  • 移除 ARIA 演算法
  • 支援國密合規的軟隨機數生成器
  • 支援半同態加密演算法 EC-ElGamal
  • 在 NTLS 中支援 RSA_SM4 加密套件
  • ARM 平臺上提供 SM3 和 SM4 的效能優化
  • SM4 演算法邏輯優化以提升效能 [zzl360]

值得一提的是,針對資料安全和隱私保護市場的興起,BabaSSL 8.3.0 中實現了對半同態加密演算法 EC-ElGamal 的支援,隱私計算領域的使用者可以便捷的使用該演算法實現相應隱私計算的需求,並同時利用 BabaSSL 提供的國密能力實現技術合規。

此外,BabaSSL 目前作為螞蟻隱私計算一體機中預設整合的軟體密碼庫,為螞蟻隱私計算一體機的使用者提供統一的密碼學 API 介面,方便隱私計算應用程式的開發和除錯。

歡迎下載 BabaSSL 8.3.0 版本,下載地址?:

https://github.com/BabaSSL/BabaSSL/releases/tag/8.3.0

BabaSSL 是什麼 ?

BabaSSL 是一個提供現代密碼學演算法和安全通訊協議的開源基礎密碼庫,為儲存、網路、金鑰管理、隱私計算等諸多業務場景提供底層的密碼學基礎能力。實現資料在傳輸、使用、儲存等過程中的私密性、完整性和可認證性的保證,為資料生命週期中的隱私和安全提供保護能力。

作為國內稀缺的密碼學開源專案,BabaSSL 填補了國內資訊基礎設施領域相關產品的空白,是我國建設國產密碼學大生態、解決密碼學技術“卡脖子”問題、發展前沿密碼學技術的關鍵一環。

除了在國家商用密碼演算法領域之外,BabaSSL 還在前沿密碼學領域進行了支援,包括隱私計算場景下所需的各種密碼學演算法以及為了應對量子計算而產生的後量子密碼學演算法等。

weekly.jpg

BabaSSL 對國際和國內的新型技術標準採用快速跟進的策略,因此支援的功能十分豐富。同時基於螞蟻和阿里海量的使用者場景,其效能和穩定性也達到了網際網路生產級別。

自 2020 年開源以來,BabaSSL 也在行業內得到了廣大使用者的使用和驗證,並應用到了眾多業務場景裡。

BabaSSL 的前世今生

BabaSSL 誕生於螞蟻集團和阿里集團內部,目前作為螞蟻和阿里的統一基礎密碼庫,廣泛應用在各類螞蟻和阿里的業務當中,提供了 TLS、資料儲存、國密合規等關鍵的密碼學相關能力,確保了各項業務平穩、安全、合規的執行。

2020 年進行開源以來,BabaSSL 將螞蟻和阿里內部所積累的密碼學技術能力提供給業界使用,同時在申請商用密碼產品軟體密碼模組一級資質,也是首個有望獲得商用密碼產品型號證書的開源密碼學產品。

從具體場景來看,有如下三個方面,分別是儲存、網路和端上的裝置。其中網路服務的場景,是 BabaSSL 最大的支撐場景,例如淘寶、天貓、阿里雲等各種涉及到鏈路加密的伺服器端。此外移動端 App,例如支付寶手機 App 中整合了 BabaSSL 來實現多種密碼學的能力。

1. 揭祕 AnolisOS 國密生態,想要看懂這一篇就夠了

有了基礎國密演算法支援,我們在 AnolisOS 上構建出一個圍繞國密演算法展開的基礎軟體生態,同時它也是一個全棧國密解決方案:從底層韌體,核心,到基礎密碼學庫,在主要鏈路上做國密改造,最終形成一個完整的基於國密的安全信任鏈條。

2. RFC8998+BabaSSL---讓國密駛向更遠的星辰大海

TLS 可以說是整個網際網路安全的基石,保障著我們的通訊資料的安全。隨著 TLS 1.3+ 國密正式成為了國家/國際層面均認可的標準(RFC8998),我們也正式在 BabaSSL 中支援了相關能力並將其開源,並建設了 BabaSSL 社群。

3. TLS 握手頻寬直降 80%,BabaSSL 是怎麼做到的

為了保障資料的安全性,通常使用 TLS/SSL 進行加密傳輸。當客戶端訪問伺服器後臺時,客戶端會先和伺服器進行 TLS 握手。RFC 8879 TLS Certificate Compression 就是為了解決這個問題,在 TLS 1.3 握手時提供證書壓縮功能,大大降低資料傳輸,減少 TLS 握手的頻寬消耗呢。

4. Tengine + BabaSSL ,讓國密更易用!

國內著名 Web 伺服器和反向代理開源軟體 Tengine(https://tengine.taobao.org)完成了對 BabaSSL(https://www.babassl.cn)的適配工作。Tengine 對 BabaSSL 提供的特殊 API 進行了適配,並增加對 NTLS 相關能力的支援。無需額外的 patch 或者程式碼改動,從使用者使用的角度進一步提升了便利性。

對密碼學、隱私計算感興趣的話

? 等你加入我們!

weekly.jpg

weekly.jpg

相關文章