OpenSSL 3.5.0 Liberazione di a Biblioteca Crittografica

A libreria OpenSSL 3.5.0 hè stata liberata, implementendu i protokolli SSL / TLS è diversi algoritmi di criptografia. OpenSSL 3.5 hè una versione di Supportu à Long Term (LTS), cù l'aghjurnamenti chì sò liberati per 5 anni (finu à aprile 2030). U supportu per i rami precedenti di OpenSSL 3.3, 3.2 è 3.0 LTS continuerà finu à aprile 2026, nuvembre 2025 è settembre 2026, rispettivamente. U codice di u prugettu hè distribuitu sottu a licenza Apache 2.0.

Innuvazioni principali:

  • Aghjunghje supportu per algoritmi criptografici resistenti à l'informatica quantistica:
    • ML-KEM (CRYSTALS-Kyber) hè un algoritmu di scambiu chjave chì usa metudi criptugrafichi basati nantu à risolve i prublemi di teoria di lattice, u tempu di suluzione di quale ùn hè micca diversu nantu à l'ordinateur cunvinziunali è quantum.
    • ML-DSA (CRYSTALS-Dilithium) hè un algoritmu di generazione di firma digitale basatu nantu à a teoria di lattice.
    • SLH-DSA (Sphincs+) hè un algoritmu per a generazione di signature digitale chì usa metudi criptografichi basati in funzioni di hash. SLH-DSA hè in ritardo di ML-DSA in a dimensione di a firma è a velocità, ma hè basatu annantu à principii matematichi completamente differenti, vale à dì chì fermarà efficace in casu di cumprumissu di l'algoritmi lattice-teorichi.
  • U sustegnu tutale per u protocolu QUIC (RFC 9000) hè statu implementatu, chì hè avà dispunibule micca solu per u cliente, ma ancu per l'applicazioni di u servitore. QUIC hè una capa sopra UDP chì sustene a multiplexazione di parechje cunnessione è furnisce metudi di criptografia equivalenti à TLS. U protokollu QUIC hè utilizatu in HTTP / 3 è hè statu creatu cum'è una alternativa à a cumminazzioni TCP + TLS, chì risolve i prublemi cù u longu tempu chì ci vole à stabilisce è negoziate cunnessione in TCP, è ancu eliminà i ritardi in a perdita di pacchetti durante a trasmissione di dati.
  • Aggiunta l'abilità di utilizà pile di terzu cù l'implementazione di u protokollu QUIC, cumprese pile chì supportanu u modu 0-RTT (0 Round Trip Time), chì vi permette di inizià immediatamente a trasmissione di dati dopu avè mandatu un pacchettu di configurazione di cunnessione.
  • Aghjunghje supportu per l'ogetti di chjave simmetrica opaca (EVP_SKEY), chì oculta i dettagli di implementazione di a chjave.
  • Aggiunta l'opzione "no-tls-deprecated-ec" per disattivà u supportu per i gruppi TLS obsoleti da RFC-8422.
  • Aggiuntu u paràmetru "enable-fips-jitter" per permette à u fornitore FIPS di utilizà una fonte di entropia basata in jitter implementata cù a biblioteca di jitterentropy. L'entropia basata in Jitter hè generata da a misurazione di e diffirenzii in u tempu chì ci vole à reeseguite un determinatu set di struzzioni nantu à una CPU, chì dipende di parechji fatturi interni è hè imprevisible senza cuntrollu fisicu nantu à u CPU.
  • CMP (Certificate Management Protocol) supporta avà a generazione di chjave centralizzata (e chjave publiche è private per u cliente sò generate da u latu di u servitore). servitore).
  • Supportu aghjuntu per furnisce parechje chjave per una sola cunnessione TLS.
  • Aggiunta una API per pipelining, chì permette à parechji blocchi di dati per esse processati simultaneamente quandu si usanu certi cifri, cum'è AES-GCM, chì supportanu l'informatica parallela.
  • In l'applicazioni req, cms è smime, l'algoritmu di crittografia predeterminatu hè statu cambiatu da des-ede3-cbc à aes-256-cbc.
  • A lista predeterminata di cifru per TLS include è priurità gruppi hibridi KEM (Key Encapsulation Mechanism) chì sò resistenti à a forza bruta in un computer quantum.
  • L'algoritmi X25519MLKEM768 è X25519 sò stati aghjuntu à u settore di chjave (keyshares) utilizatu per difettu in TLS.
  • E funzioni BIO_meth_get_*() sò state obsolete.

Source: opennet.ru

Cumprate un hosting affidabile per i siti cù prutezzione DDoS, servitori VPS VDS 🔥 Cumprate un hosting di siti web affidabile cù prutezzione DDoS, servitori VPS VDS | ProHoster