このドキュメントでは、OpenSSL管理委員会がOpenSSL戦略的アーキテクチャの基本原則の概要を説明しています。 3.0.0以降、現在のアーキテクチャ（バージョン1.1.1）から将来に移行するには、いくつかのバージョンが必要になります。



アーキテクチャには多くの変更が予想されます。 可能な移行パスを提供します。 OpenSSL 3.0.0のリリースは、ほとんどの既存アプリケーションにほとんど影響を与えません。ほとんどすべてのリテラシーアプリケーションを再コンパイルする必要があります。



エンジンインターフェイスによって提供される現在の機能は、最終的にはソフトウェアインターフェイスに置き換えられます。 OpenSSL 3.0.0はエンジンサポートを保持します。 将来のアーキテクチャは、OpenSSL 4.0.0以前に完全に実装できます。

現在のアーキテクチャ

現在、OpenSSLには4つの主要コンポーネントがあります。

1. libcrypto。 多数の暗号プリミティブの実装を提供するためのメインライブラリ。 さらに、libsslおよびlibcryptoのサポートサービスのセット、およびCMSやOCSPなどのプロトコル実装を提供します。
   
   
2. エンジン。 libcryptoの機能は、エンジンAPIを介して拡張できます。
   
   
   
   通常、エンジンはlibcryptoに登録された動的にロードされたモジュールであり、利用可能なフックを使用して暗号化アルゴリズムを実装します。ほとんどの場合、libcryptoによってすでに提供されているアルゴリズムの代替実装（ハードウェアアクセラレーションサポートなど）ですが、OpenSSLで実装されていないアルゴリズムも含まれる場合がありますデフォルトで（たとえば、GOSTメカニズムはロシアのGOSTファミリーのアルゴリズムを実装しています）。 一部のエンジンにはOpenSSLディストリビューションが付属していますが、他のエンジンにはサードパーティ（再度、GOST）が付属しています。
   
   
3. libssl。 libcryptoに依存し、TLSおよびDTLSプロトコルを実装するライブラリ。
   
   
4. 用途 libsslおよびlibcryptoの基本コンポーネントを使用して、次のような暗号化およびその他の機能のセットを提供するコマンドラインツールのセット。
   
   
   
   
   • キーとパラメーターの生成と検証
     
     
   • 証明書の生成と検証
     
     
   • SSL / TLSテストツール
     
     
   • ASN.1検証
     
     
   • その他
   
   
   現在、OpenSSLには次の機能があります。
   
   
   
   
   1. EVP EVPレイヤー（エンベロープ）APIは、特定の実装を参照せずに、暗号化機能の高レベルの抽象インターフェースを提供します。 EVPインターフェイスをバイパスする暗号化アルゴリズムの特定の実装を直接使用することはお勧めしません。 署名や検証などの複合操作もここで提供されます。 一部の複合操作もEVPレベルの操作として提供されます（たとえば、HMAC-SHA256）。 EVPでは、アルゴリズムに依存しない方法で暗号化アルゴリズムを使用することもできます（たとえば、EVP_DigestSignはRSAアルゴリズムとECDSAアルゴリズムの両方で機能します）。
      
      
   2. FIPS140はサポートされていません。OpenSSL-1.0.2でのみ使用できます。これは、現在のアーキテクチャより前であり、APIまたはABIと互換性がありません。
   
   
   

   コンポーネントコンセプト

   
   
   既存のアーキテクチャは、下部に暗号化層を備えた単純な4レベルの構造です。 TLSレイヤーは暗号化レイヤーに依存し、アプリケーションはTLSレイヤーと暗号化レイヤーの両方に依存します。
   
   
   
   注：図にコンポーネントが存在するということは、そのコンポーネントがパブリックAPIであることや、エンドユーザーによる直接アクセス/使用を意図していることを意味しません。
   
   
   
   
   
   
   
   

   パッケージ図

   
   
   上記のコンポーネントは、ライブラリ（libcryptoおよびlibssl）と対応するカーネルインターフェース、およびさまざまなアプリケーションを起動するための実行可能なコマンドラインファイル（openssl）にパッケージ化されています。 これを下の図に示します。
   
   
   
   
   
   
   
   

   将来のアーキテクチャ

   
   
   将来のアーキテクチャの機能：
   
   
   
   
   • カーネルサービスは、アプリケーションおよびプロバイダー（たとえば、BIO、X509、SECMEM、ASN1など）によって使用されるビルディングブロックを形成します。
     
     
   • サプライヤーは暗号化アルゴリズムとサポートサービスを使用します。 プロバイダーは、次の機能の1つ以上を実装します。
     
     
     
     
     • アルゴリズムの暗号プリミティブ：暗号化、復号化、署名、ハッシュなど
       
       
     • アルゴリズムのシリアル化。たとえば、秘密キーをPEMファイルに変換する機能。 シリアル化は、形式または現在サポートされていない形式にすることができます。
       
       
     • ローダーバックエンドを保存します。 OpenSSLには現在、ファイルからキー、パラメーター、その他の要素を読み取るためのブートローダーが付属しています。 ベンダーは、ダウンローダーを実装して、他の場所（LDAPディレクトリなど）からデータを読み取ることができます。
     
     
     プロバイダーは完全に自律的であるか、異なるプロバイダーまたはカーネルサービスによって提供されるサービスを使用できます。 たとえば、アプリケーションはハードウェアアクセラレータベンダーによって実装されたアルゴリズムに暗号プリミティブを使用できますが、別のベンダーのシリアル化サービスを使用してキーをPKCS＃12形式にエクスポートします。
     
     
     
     デフォルトのプロバイダー（OpenSSL暗号化アルゴリズムの現在の実装のコアを含む）は「組み込み」ですが、他のプロバイダーは実行時に動的にロードできます。
     
     
     
     レガシープロバイダーのモジュールは、古いアルゴリズム（DES、MDC2、MD2、Blowfish、CASTなど）の暗号化実装を提供します。 アルゴリズムがデフォルトプロバイダーから古いプロバイダーに移行する方法とタイミングに関するルールを投稿します。
     
     
     
     OpenSSL FIPS暗号化モジュールを実装するFIPSプロバイダーは、実行時に動的にロードできます。
     
     
   • カーネルは、アプリケーションプロバイダー（およびその他）が提供するサービスへのアクセスを提供します。 ベンダーは、カーネルにメソッドへのアクセスを許可します。 カーネルは、アルゴリズムなどの特定の実装が発見されるメカニズムです。
     
     
     
     カーネルは、アルゴリズムを見つけるためにプロパティベースの検索機能を実装しています。 たとえば、これは「fips = true」または「keysize = 128、constant_time = true」のアルゴリズムを見つけます。 詳細は、後続のプロジェクトドキュメントで公開されます。
     
     
   • TLS、DTLSなどのプロトコル実装。
   
   
   将来のアーキテクチャには、次の特性があります。
   
   
   
   
   • EVPレイヤーは、サプライヤーを通じて実装されるサービスの薄いラッパーになります。 ほとんどの呼び出しは、最小限の前処理または後処理で行われるか、まったく行われません。
     
     
   • 新しいEVP APIが表示され、カーネルでEVP呼び出しに使用されるアルゴリズムの実装が検索されます。
     
     
   • 情報は、実装に関係なく、メインライブラリとサプライヤの間で同じ方法で転送されます。
     
     
   • 廃止されたAPI（EVPレイヤーを通過しない低レベル暗号化APIなど）は除外されます。 古いものではないアルゴリズム用のレガシーAPIがあることに注意してください（たとえば、AESは古いアルゴリズムではありませんが、AES_encryptは古いAPIです）。
     
     
   • OpenSSL FIPS暗号化モジュールは、動的にロードされるプロバイダーとして実装されます。 自律的です（つまり、カーネルによって提供されるシステムランタイムライブラリとサービスにのみ依存する場合があります）。
     
     
   • 他のインターフェイスも、時間の経過とともにカーネルを使用するように変換できます（たとえば、OSSL_STORE）。
     
     
   • エンジンを使用すると、サプライヤーに行きます。 「さようなら、エンジニア、こんにちは、サプライヤー 。 」
   
   
   

   コンポーネントコンセプト

   
   
   下の図は、将来のOpenSSLアーキテクチャのコンポーネントの概要を示しています。
   
   
   
   注：図にコンポーネントが存在するということは、そのコンポーネントがパブリックAPIであることや、エンドユーザーによる直接アクセス/使用を意図していることを意味するものではありません。
   
   
   
   
   
   
   
   以下のコンポーネントがここに示されています。
   
   
   
   
   • アプリケーション：コマンドラインユーティリティ：ca、暗号、cms、dgstなど
     
     
   • プロトコル：コンポーネントは、標準プロトコルを使用してエンドポイント間で通信する機能を提供します。
     
     
     • TLSプロトコル：サポートされているすべてのTLS / DTLSプロトコルとサービスインフラストラクチャの実装：
       
       
       • SSL BIO：TLS通信のBIO
         
         
       • Statem：TLSステートマシン
         
         
       • レコード：TLSレコードレイヤー
     • その他のプロトコル
       
       
       • CMS：暗号化メッセージ構文標準の実装
         
         
       • OCSP：オンライン証明書ステータスプロトコルの実装
         
         
       • TS：タイムスタンププロトコルの実装
     • サポートサービス：プロトコルコードの実装をサポートするために特別に設計されたコンポーネント
       
       
       • パケット：プロトコルメッセージを読み取るための内部コンポーネント
         
         
       • Wpacket：プロトコルメッセージを記録するための内部コンポーネント
   • カーネル：これは、サービスリクエスト（暗号化など）をサービスプロバイダーに接続する基本的なコンポーネントです。 サプライヤは、そのプロパティとともにサービスを登録できます。 カーネルは、サービスが実行する必要のある特定のプロパティセットを持つサービスを検索する機能も提供します。 たとえば、暗号化サービスのプロパティには、「aead」、「aes-gcm」、「fips」、「security-bits = 128」などが含まれます。
     
     
   • デフォルトプロバイダー：カーネルに登録されたデフォルトサービスのセットを実装します。
     
     
     • サポートサービス
       
       
       • 低レベルの実装：これは、実際に暗号化プリミティブを実装するコンポーネントのセットです。
   • FIPSプロバイダー：検証され、FIPSコアで利用可能な一連のサービスを実装します。 次のサポートサービスが含まれます。
     
     
     • POST：電源投入時セルフテスト
       
       
     • KAT：既知の回答テスト
       
       
     • 整合性チェック
       
       
     • 低レベルの実装：これは、暗号化プリミティブを実際に実装するコンポーネントのセットです（スタンドアロンFIPS要件を満たすため）。
   • レガシーアルゴリズムプロバイダー：EVP APIを通じて提供されるレガシーアルゴリズムの実装を提供します。
     
     
   • サードパーティプロバイダー：OpenSSLディストリビューションの一部ではありません。 第三者は、独自のサプライヤーを販売する場合があります。
     
     
   • 一般サービス：アプリケーションおよびサプライヤ（たとえば、BIO、X509、SECMEM、ASN1など）が使用するビルディングブロックを形成します。
     
     
   • 廃止されたAPI。 「低レベル」API：ここで「廃止」という言葉は、アルゴリズムそのものではなく、APIを具体的に指します。 たとえば、AESは時代遅れのアルゴリズムではありませんが、時代遅れのAPI（AES_encryptなど）があります。
   
   
   

   パッケージ図

   
   
   上記のコンポーネントの概念図で説明したさまざまなコンポーネントは、次のものに物理的にパッケージ化されています。
   
   
   
   
   • ユーザー向けの実行可能アプリケーション
     
     
   • アプリケーション用のライブラリ
     
     
   • カーネル用の動的にロード可能なモジュール。
   
   
   
   
   
   
   
   
   以下の実際のパッケージがここに表示されます。
   
   
   
   
   • 実行可能ファイルはOpenSSLです。 コマンドラインアプリケーション。
     
     
   • Libssl。 TLSおよびDTLSに直接関連するすべてが含まれています。 その内容は、現在のlibsslとほとんど同じです。 一部のサポートサービスはlibcryptoに移行されることに注意してください。
     
     
   • リブクリプト このライブラリには、次のコンポーネントが含まれています。
     
     
     • 主なサービスの実装：X509、ASN1、EVP、OSSL_STOREなど。
       
       
     • コア
       
       
     • 非TLSまたはDTLSプロトコル
       
       
     • プロトコルサポートサービス（パケットやWpacketなど）
       
       
     • すべてのデフォルトアルゴリズムの実装を含むデフォルトプロバイダー
   • Libcrypto-legacy。 レガシーの低レベルAPIを提供します。 これらのAPIのアルゴリズムの実装は、どのプロバイダーからのものでもかまいません。
     
     
   • FIPSモジュール。 FIPSによって検証され、カーネルに登録された一連のサービスを実装するFIPSプロバイダーが含まれています。
     
     
   • レガシーモジュール。 古いプロバイダーが含まれています。