Liberigo de OpenSSL 3.2.0 kun klienta subteno por la QUIC-protokolo

Post ok monatoj da evoluo, la liberigo de la OpenSSL 3.2.0 biblioteko estis formita kun la efektivigo de la SSL/TLS-protokoloj kaj diversaj ĉifradaj algoritmoj. OpenSSL 3.2 estos subtenata ĝis la 23-a de novembro 2025. Subteno por antaŭaj branĉoj de OpenSSL 3.1 kaj 3.0 LTS daŭros ĝis marto 2025 kaj septembro 2026, respektive. Subteno por branĉo 1.1.1 estis ĉesigita en septembro de ĉi tiu jaro. La projektkodo estas distribuita sub la permesilo Apache 2.0.

Ĉefaj novigoj de OpenSSL 3.2.0:

  • Aldonita klienta subteno por la protokolo QUIC (RFC 9000), uzata kiel transportilo en la protokolo HTTP/3. La efektivigo inkluzivas, interalie, la kapablon sendi plurajn fluojn tra ununura komunikkanalo. Komponantoj por uzi QUIC sur serviloj estos inkluzivita en la eldono de OpenSSL 3.3, kiu estas planita por publikigo ne pli malfrue ol la 30-an de aprilo 2024.

    QUIC estas etendaĵo de la UDP-protokolo kiu subtenas multipleksadon de multoblaj ligoj kaj disponigas ĉifradmetodojn ekvivalentajn al TLS/SSL. La protokolo estis kreita en 2013 de Google kiel alternativo al la kombinaĵo TCP+TLS por la Reto, solvante problemojn kun longaj konekto-agordo kaj intertraktadotempoj en TCP kaj forigante prokrastojn kiam pakaĵetoj estas perditaj dum datumtransigo.

  • TLS efektivigas subtenon por etendaĵo por atestilkunpremado ĉe la ligintertraktadstadio (RFC 8879), kiu enkalkulas pli rapidan konektinstaladon ekde la translokigo de atestildatenoj respondecas pri la leona parto de trafiko dum la ligintertraktadstadio. Kunpremado uzanta la bibliotekojn zlib, zstd kaj Brotli estas subtenata.
  • Aldonita subteno por determinisma versio de ciferecaj subskriboj ECDSA (Determinisma ECDSA, RFC 6979) en kiu, anstataŭ hazarda sekvenco dum generado de subskribo, la HMAC-SHA256 hash de la privata ŝlosilo kaj la teksto de la subskribita mesaĝo estas uzata, kiu permesas vin ĉiam ricevi la saman subskribon en malsamaj subskribaj operacioj, sed ne permesas elfluon de datumoj, kiuj povas esti uzataj por diveni la privatan ŝlosilon (la privata ŝlosilo povas esti divenita se almenaŭ du subskriboj por malsamaj datumoj estas generitaj uzante ripetantan hazardan). sekvenco).
  • Aldonita subteno por plilongigitaj Ed25519 kaj Ed448 publika ŝlosilo ciferecaj subskriboj: Ed25519ctx, Ed25519ph kaj Ed448ph (RFC 8032).
  • Aldonita subteno por la ĉifrada reĝimo AES-GCM-SIV (RFC 8452), kiu kombinas la altan rendimenton de la GCM (Galois/Counter Mode) reĝimo kun rezisto al likoj kiam oni reuzas hazardan nonce-kodon.
  • La Argon2-ŝlosila generaciofunkcio (RFC 9106) estis efektivigita, kiu gajnis la konkuradon pri pasvortaj haĉaj funkcioj en 2015. Aldonita la kapablo uzi fadenan naĝejon.
  • Aldonita subteno por hibrida ĉifrado bazita sur la mekanismo HPKE (Hybrid Public Key Encryption, RFC 9180), kiu kombinas la simplecon de ŝlosila translokigo en publika ŝlosila ĉifrado kun la alta rendimento de simetria ĉifrado (datenoj estas ĉifritaj per rapida simetria ŝlosilo, kaj la ŝlosilo mem estas ĉifrita per malrapida nesimetria).
  • TLS efektivigas la kapablon uzi "krudajn" publikajn ŝlosilojn (RFC 7250).
  • Aldonita subteno por la mekanismo por rapide malfermi TCP-konektojn (TFO - TCP Fast Open, RFC 7413), kiu ebligas al vi redukti la nombron da konekto-agordaj paŝoj kombinante la unuan kaj duan paŝojn de la klasika 3-paŝa konekto-negoca procezo en unu. peto kaj ebligas sendi datumojn ĉe la komenca etapo de agordo de konekto.
  • TLS efektivigas subtenon por ŝtopeblaj ciferecaj subskribkabaloj, permesante la uzon de triapartaj efektivigoj de algoritmoj, ekzemple, por la uzo de algoritmoj en TLS kiuj estas rezistemaj al krudforto sur kvantumkomputiloj.
  • TLS 1.3 aldonas subtenon por sekuraj elipsaj kurboj de Brainpool.
  • Aldonita subteno por SM4-XTS-procesora instrukcioj.
  • Sur la platformo Windows La kapablo uzi la sisteman radikan atestilstokejon estas efektivigita (defaŭlte malŝaltita). Por aliri atestilojn en la stokejo Windows La proponita URI estas "org.openssl.winstore://".

fonto: opennet.ru

Aĉetu fidindan gastigadon por retejoj kun DDoS-protekto, VPS-VDS-serviloj 🔥 Aĉetu fidindan retejan gastigadon kun DDoS-protekto, VPS VDS-servilojn | ProHoster