Na agt maande se ontwikkeling is die vrystelling van die OpenSSL 3.2.0-biblioteek gevorm met die implementering van die SSL/TLS-protokolle en verskeie enkripsiealgoritmes. OpenSSL 3.2 sal tot 23 November 2025 ondersteun word. Ondersteuning vir vorige takke van OpenSSL 3.1 en 3.0 LTS sal onderskeidelik tot Maart 2025 en September 2026 voortduur. Ondersteuning vir tak 1.1.1 is in September vanjaar gestaak. Die projekkode word onder die Apache 2.0-lisensie versprei.
Belangrikste innovasies van OpenSSL 3.2.0:
- Kliëntondersteuning vir die QUIC-protokol (RFC 9000) is bygevoeg, wat as 'n vervoermiddel in die HTTP/3-protokol gebruik word. Die implementering sluit onder andere die vermoë in om verskeie strome oor 'n enkele kommunikasiekanaal oor te dra. Komponente vir die gebruik van QUIC op bedieners sal ingesluit word in die OpenSSL 3.3-vrystelling, wat na verwagting nie later nie as 30 April 2024 gepubliseer sal word.
QUIC is 'n uitbreiding van die UDP-protokol wat multipleksing van veelvuldige verbindings ondersteun en enkripsiemetodes bied gelykstaande aan TLS/SSL. Die protokol is in 2013 deur Google geskep as 'n alternatief vir die TCP+TLS-kombinasie vir die web, wat probleme met lang verbinding-opstelling en onderhandelingstye in TCP oplos en vertragings uitskakel wanneer pakkies tydens data-oordrag verlore gaan.
- TLS implementeer ondersteuning vir 'n uitbreiding vir sertifikaatkompressie tydens die verbindingsonderhandelingstadium (RFC 8879), wat vir vinniger verbindingsopstelling moontlik maak, aangesien die oordrag van sertifikaatdata die grootste deel van die verkeer tydens die verbindingsonderhandelingstadium uitmaak. Kompressie met behulp van die zlib-, zstd- en Brotli-biblioteke word ondersteun.
- Bygevoeg ondersteuning vir 'n deterministiese weergawe van digitale handtekeninge ECDSA (Deterministic ECDSA, RFC 6979) waarin, in plaas van 'n ewekansige volgorde wanneer 'n handtekening gegenereer word, die HMAC-SHA256 hash vanaf die private sleutel en die teks van die getekende boodskap gebruik word, wat laat jou toe om altyd dieselfde handtekening in verskillende ondertekeningsoperasies te ontvang, maar laat nie lekkasie van data toe wat gebruik kan word om die private sleutel te raai nie (die private sleutel kan geraai word as ten minste twee handtekeninge vir verskillende data gegenereer word deur 'n herhalende ewekansige volgorde).
- Bygevoeg ondersteuning vir uitgebreide Ed25519 en Ed448 publieke sleutel digitale handtekeninge: Ed25519ctx, Ed25519ph en Ed448ph (RFC 8032).
- Bygevoeg ondersteuning vir die AES-GCM-SIV (RFC 8452) enkripsie-modus, wat die hoë werkverrigting van die GCM (Galois/Counter Mode)-modus kombineer met weerstand teen lekkasies wanneer willekeurige nonce-kode hergebruik word.
- Die Argon2-sleutelgenereringsfunksie (RFC 9106) is geïmplementeer, wat die kompetisie vir wagwoordhasfunksies in 2015 gewen het. Bygevoeg die vermoë om 'n draadpoel te gebruik.
- Bygevoeg ondersteuning vir hibriede enkripsie gebaseer op die HPKE (Hybrid Public Key Encryption, RFC 9180) meganisme, wat die eenvoud van sleuteloordrag in publieke sleutel enkripsie kombineer met die hoë werkverrigting van simmetriese enkripsie (data word geïnkripteer met 'n vinnige simmetriese sleutel, en die sleutel self is geïnkripteer met 'n stadige asimmetriese een).
- TLS implementeer die vermoë om "rou" publieke sleutels (RFC 7250) te gebruik.
- Bygevoeg ondersteuning vir die meganisme om TCP-verbindings vinnig oop te maak (TFO - TCP Fast Open, RFC 7413), wat jou toelaat om die aantal verbinding-opstellingstappe te verminder deur die eerste en tweede stappe van die klassieke 3-stap verbindingsonderhandelingsproses in een te kombineer versoek en maak dit moontlik om data tydens die aanvanklike konneksie-opstellingstadium te stuur.
- TLS implementeer ondersteuning vir inpropbare digitale handtekeningskemas, wat die gebruik van derdeparty-implementerings van algoritmes moontlik maak, byvoorbeeld vir die gebruik van algoritmes in TLS wat bestand is teen brute krag op kwantumrekenaars.
- TLS 1.3 voeg ondersteuning by vir Brainpool veilige elliptiese kurwes.
- Bygevoeg ondersteuning vir SM4-XTS verwerker instruksies.
- Op die platform Windows Die vermoë om die stelsel se wortelsertifikaatstoor te gebruik, is geïmplementeer (standaard gedeaktiveer). Om toegang tot sertifikate in die stoor te verkry Windows Die voorgestelde URI is "org.openssl.winstore://".
Bron: opennet.ru
