ProHoster > Blog > Interneteko albisteak > Liburutegi kriptografikoen kaleratzea OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 eta Rustls 0.23.15

Liburutegi kriptografikoen kaleratzea OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 eta Rustls 0.23.15

Liburutegi kriptografikoen hainbat bertsio berri argitaratu dira:

OpenSSL 3.4.0 liburutegiaren kaleratzea SSL/TLS protokoloak eta hainbat enkriptazio algoritmoak ezarrita. OpenSSL 3.4 2025eko urrira arte onartuko da. OpenSSL 3.3, 3.2, 3.1 eta 3.0 LTSren iraganeko adarretarako laguntza 2026ko apirilera, 2025eko azaroa, 2025eko martxoa eta 2026ko irailera arte jarraituko du, hurrenez hurren. Proiektuaren kodea Apache 2.0 lizentziapean banatzen da. Berrikuntza nagusiak:

  • TLSv1.3rako zifratze-multzoaren euskarria gehitu da, datuen osotasunaren egiaztapenetara mugatuta (RFC 9150) eta TLS_SHA256_SHA256 eta TLS_SHA384_SHA384 algoritmoak barne.
  • Sasi-ausazko zenbaki-sorgailuan jitter-ean oinarritutako entropia-iturri gehigarri bat erabiltzeko aukerako gaitasuna gehitu da, jitterentropy liburutegia erabiliz inplementatuta. Entropia PUZaren instrukzio-multzo jakin baten berregituratze-denboran desberdintasunak neurtzean sortzen da, barne-faktore askoren araberakoa dena eta ezustekoa dena PUZaren kontrol fisikorik gabe.
  • Baimen-ziurtagirien hasierako euskarria gehitu da (AC - Attribute Certificate, RFC 5755), ziurtagiriaren jabearen sarbide-eskubideei, ahalmenei eta atributuei buruzko informazioa barne hartzen dutenak, ekintza jakin batzuk egiteko gaitasuna ziurtatzen duena. Adibidez, AC ziurtagiri batek zerbitzu batera konektatzeko eskubidea zehaztu dezake.
  • Baimen-ziurtagiriekin lotutako X.509v3 luzapenetarako laguntza gehitu da.
  • FIPS hornitzaileak FIPS 140-3 Indicator APIrako euskarria ezartzen du, eta horri esker, eragiketa jakin bat onartutako zerbitzu batean erabili den edo ez erabaki dezakezu.
  • BIO (Basic Input/Output) APIak Base64 sarreraren prozesamendua hobetu du.
  • Openssl erabilgarritasuna PIE (Position Independent Executable) moduan eraikitzeko euskarria gehitu da, helbide-espazioen aleatorizazioa (ASLR) erabiltzeko aukera ematen duena.
  • Zuzenean atera daitezkeen sinadura digital konbinatuen algoritmoetarako laguntza gehitu da, hala nola RSA-SHA2-256.
  • PKCS#12-k PBMAC 1 (Pasahitzetan oinarritutako mezuen autentifikazio-kodea 1, RFC 9579) onartzen du.
  • '-not_before' eta '-not_after' aukerak gehitu dira openssl utilitatean ziurtagiriaren hasiera eta amaiera orduak esplizituki zehazteko.
  • Aurrez kalkulatutako balioak erabil daitezke P-256 kurba eliptikoetan oinarritutako algoritmo kriptografikoak hastean.
  • TS_VERIFY_CTX_set_* funtzioak zaharkituak izan dira, semantika hobetua duten TS_VERIFY_CTX_set0_* funtzioak ordezkatuta.
  • SSL_SESSION_get_time(), SSL_SESSION_set_time() eta SSL_CTX_flush_sessions() funtzioak zaharkituta geratu dira eta SSL_SESSION_get_time_ex(), SSL_SESSION_set_time_ex() eta SSL_CTX_flush_sessions_ex-ekin ordezkatu behar dira.(2038).
  • QIUC protokoloaren laguntza alboan, OpenSSL 3.4-n espero zena zerbitzaria hurrengo alera arte atzeratuta.

LibreSSL 4.0.0 proiektuaren kaleratzea, OpenSSL fork bat garatzen duena, SSL/TLS protokoloei segurtasun-maila handiagoa eta kalitate handiko euskarria eskaintzera zuzenduta, beharrezkoak ez diren funtzionalitateak kenduz, segurtasun-eginbide gehigarriak gehituz eta garbiketa eta prozesamendu garrantzitsuak eginez. kodearen oinarriarena. Bertsio-zenbakiaren aldaketa nabarmena zenbaki hamartarra erabiltzeagatik da (3.9aren ondoren 4.0 bertsioa dator). Aldaketa nabarmenenak:

  • Emscripten erabiliz eraikitzeko hasierako laguntza gehitu da, C/C++ WebAssembly konpilatzailea.
  • CRLfile aukera bat gehitu da "openssl cms" komandoan egiaztapenean erabiliko diren ziurtagiriak baliogabetzeko zerrenda (CRL) gehigarriak zehazteko.
  • Mips32 plataformarako laguntza eten egin da.
  • Mihiztadura-lengoaian idatzitako funtzioetarako sarbidea emateari utzi diogu API publikoaren bidez (funtzio horiek C-ko wrapper funtzioen bidez soilik eskaintzen dira). Ezabatu dira arkitektura zaharretako zifratzeen muntaia-lengoaiaren inplementazioak.
  • Ziurtagiriaren baliozkotasunaren cachean gordetzeko kodea kendu zen, errendimendua optimizatu ondoren zentzurik gabe geratu zena.
  • X.509v3 luzapenen inplementazioa hobetu da, X.509v3 metodo bateratu eta X.509v3-rekin lotutako APIak garbitu ditu.
  • CRYPTO_EX_DATA motaren ezarpena guztiz berridatzi da.
  • libcrypto-n, atoi() eta strtol() funtzioak strtonum() ordezkatu ditu.
  • Crypto_arch.h goiburuko fitxategia gehitu da, hardware-arkitekturari dagokion kodea duena.
  • DES algoritmoaren ezarpena birdiseinatu eta optimizatu da.
  • Pem2.h, ssl2.h, ssl23.h eta ui_compat.h goiburuko fitxategiak kendu ziren.
  • Whirlpool hashing algoritmoaren laguntza kendu da.
  • HMAC_Init(), OPENSSL_load_builtin_modules(), X509_REQ_{get,set}_extension_nids(), X509_check_trust() funtzioak kendu dira.
  • PEM_USER, PEM_CTX, COMP_CTX, COMP_METHOD, X509_CRL_METHOD, STORE, STORE_METHOD eta SSL_AEAD_CTX motak kendu dira.
  • SSL_CTX_set1_cert_store() eta SSL_CIPHER_get_handshake_digest() funtzioak gehitu dira libssl-era.

Botan 3.6.0 kriptografia liburutegia eskuragarri dago orain NeoPG proiektuan erabiltzeko, GnuPG 2-ren sardexka bat. Liburutegiak TLS protokoloan erabiltzen diren prest egindako primitiboen bilduma handi bat eskaintzen du, X.509 ziurtagiriak, AEAD zifraketak, TPM moduluak. , PKCS#11, pasahitzaren hashinga eta kriptografia post-kuantikoa (hash-en oinarritutako sinadurak eta McEliece-n oinarritutako gako-hitzarmena). Liburutegia C++-n idatzita dago eta BSD lizentziapean banatzen da. Bertsio berrian:

  • Liburutegi berri bat kurba eliptikoetan oinarritutako kriptoalgoritmoekin integratu da, kurba estandarretan oinarritutako eragiketak zeinetan 2-3 aldiz azkarrago egiten diren. Kurba eliptikoekin maila baxuko lanetarako API berri bat ere proposatzen da.
  • Duela gutxi estandarizatutako NIST enkriptazio-algoritmo kuantikoetarako laguntza gehitu da: FIPS 203 ML-KEM (Kyber), FIPS 204 ML-DSA (Dilithium) eta FIPS 205 SLH-DSA (SPHINCS+).
  • TPM2 txipetarako euskarria gehitu da.
  • Denbora konstanteko konputazioaren erabilera hedatua alboko kanalen erasoetatik babesteko.
  • Entropia gehigarriaren sorrera gehitu da jitterentropy liburutegia erabiliz.
  • Datuak formatu hamaseimalean eta base64 kodetzean prozesatzeko errendimendu hobetua.
  • AVX2-VAES eta GFNI-AVX2 prozesadorearen luzapenetarako euskarria gehitu da.
  • Armv7, aarch64 eta ppc64 CPU gaitasunen detekzioa gehitu da OpenBSD plataforman.
  • Mihiaketa-aukera gehitu da muntatzaileen lerroko txertaketa guztiak desgaitzeko.

Rustls 0.23.15 proiektuaren kaleratzea, Rust hizkuntzan proiektuetarako TLS1.2 eta TLS1.3 protokoloen bezero eta zerbitzarien inplementazioak garatzen dituena. Rustls-ek ez du berezko kriptografiko primitiboen inplementazioa ematen, baina konektagarri diren funtzio kriptografikoen hornitzaileak erabiltzen ditu (ECDSA, Ed25519, RSA, ChaCha20-Poly1305, AES128-GCM eta AES256-GCM algoritmoak onartzen dira). Lehenespenez, Rustls-ek aws-lc-rs liburutegian oinarritutako kriptografia-hornitzailea erabiltzen du, Amazonek garatutakoa eta AWS-LC C++ kodean oinarritzen dena, BoringSSL proiektuko fork bat (Google-k mantentzen duen OpenSSL fork bat). Eraztun-liburutegia, partzialki BoringSSLn oinarritutakoa eta muntaketa-kodea, C++ eta Rust konbinatuz, kripto-hornitzaile gisa ere erabil daiteke.

Bertsio berria errendimenduaren optimizazio esanguratsuengatik nabarmentzen da. Aws-lc-rs kriptografia primitiboak erabiliz, Rustls-ek OpenSSL eta BoringSSL gainditzen dituela esaten da, abiadura eta konexioa negoziatzeko/berresteko abiadura neurtzen duten erreferentzietan. Liburutegi kriptografikoen kaleratzea OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 eta Rustls 0.23.15 Liburutegi kriptografikoen kaleratzea OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 eta Rustls 0.23.15

Iturria: opennet.ru

Gehitu iruzkin berria