پس از هشت ماه توسعه، انتشار کتابخانه OpenSSL 3.2.0 با پیاده سازی پروتکل های SSL/TLS و الگوریتم های رمزگذاری مختلف شکل گرفت. OpenSSL 3.2 تا 23 نوامبر 2025 پشتیبانی می شود. پشتیبانی از شاخه های قبلی OpenSSL 3.1 و 3.0 LTS به ترتیب تا مارس 2025 و سپتامبر 2026 ادامه خواهد داشت. پشتیبانی از شاخه 1.1.1 در شهریور ماه سال جاری متوقف شد. کد پروژه تحت مجوز آپاچی 2.0 توزیع شده است.
نوآوری های اصلی OpenSSL 3.2.0:
- پشتیبانی کلاینت برای پروتکل QUIC (RFC 9000) که به عنوان یک انتقال در پروتکل HTTP/3 استفاده میشود، اضافه شد. این پیادهسازی، از جمله موارد دیگر، شامل قابلیت انتقال چندین جریان از طریق یک کانال ارتباطی واحد است. اجزایی برای استفاده از QUIC در سرورها در نسخه OpenSSL 3.3 که قرار است حداکثر تا 30 آوریل 2024 منتشر شود، گنجانده خواهد شد.
QUIC توسعه پروتکل UDP است که از مالتی پلکس شدن چندین اتصال پشتیبانی می کند و روش های رمزگذاری معادل TLS/SSL را ارائه می دهد. این پروتکل در سال 2013 توسط گوگل به عنوان جایگزینی برای ترکیب TCP+TLS برای وب ایجاد شد که مشکلات مربوط به راه اندازی اتصال طولانی و زمان های مذاکره در TCP را حل می کند و تاخیر زمانی که بسته ها در طول انتقال داده گم می شوند را حذف می کند.
- TLS از یک برنامه افزودنی برای فشردهسازی گواهی در مرحله مذاکره اتصال (RFC 8879) پشتیبانی میکند، که امکان راهاندازی سریعتر اتصال را فراهم میکند زیرا انتقال دادههای گواهی سهم اصلی ترافیک در مرحله مذاکره اتصال را به خود اختصاص میدهد. فشرده سازی با استفاده از کتابخانه های zlib، zstd و Brotli پشتیبانی می شود.
- پشتیبانی اضافه شده برای نسخه قطعی امضاهای دیجیتال ECDSA (Deterministic ECDSA, RFC 6979) که در آن به جای دنباله تصادفی هنگام تولید یک امضا، از هش HMAC-SHA256 از کلید خصوصی و متن پیام امضا شده استفاده می شود. به شما این امکان را میدهد که همیشه یک امضا را در عملیات امضای مختلف دریافت کنید، اما اجازه نشت دادههایی را نمیدهد که بتوان از آن برای حدس زدن کلید خصوصی استفاده کرد (کلید خصوصی را میتوان حدس زد اگر حداقل دو امضا برای دادههای مختلف با استفاده از یک تصادف تکرار شونده تولید شود. توالی).
- پشتیبانی اضافه شده برای امضاهای دیجیتال کلید عمومی Ed25519 و Ed448: Ed25519ctx، Ed25519ph و Ed448ph (RFC 8032).
- پشتیبانی از حالت رمزگذاری AES-GCM-SIV (RFC 8452) اضافه شده است که عملکرد بالای حالت GCM (Galois/Counter Mode) را با مقاومت در برابر نشت هنگام استفاده مجدد از کد غیر تصادفی ترکیب می کند.
- تابع تولید کلید Argon2 (RFC 9106) پیاده سازی شده است که برنده رقابت توابع هش رمز عبور در سال 2015 شد. قابلیت استفاده از Thread Pool اضافه شده است.
- اضافه شدن پشتیبانی از رمزگذاری ترکیبی بر اساس مکانیزم HPKE (رمزگذاری کلید عمومی ترکیبی، RFC 9180)، که سادگی انتقال کلید در رمزگذاری کلید عمومی را با عملکرد بالای رمزگذاری متقارن ترکیب می کند (داده ها با یک کلید متقارن سریع رمزگذاری می شوند، و خود کلید با یک نامتقارن کند رمزگذاری شده است).
- TLS توانایی استفاده از کلیدهای عمومی خام (RFC 7250) را پیاده سازی می کند.
- پشتیبانی از مکانیسم باز کردن سریع اتصال TCP (TFO - TCP Fast Open, RFC 7413) که به شما امکان می دهد با ترکیب مراحل اول و دوم فرآیند کلاسیک مذاکره سه مرحله ای اتصال در یک درخواست، تعداد مراحل راه اندازی اتصال را کاهش دهید. و ارسال داده ها را در مرحله تنظیم اولیه اتصال ممکن می سازد.
- TLS از طرحهای امضای دیجیتال قابل اتصال پشتیبانی میکند و امکان استفاده از پیادهسازیهای شخص ثالث از الگوریتمها را فراهم میکند، به عنوان مثال، برای استفاده از الگوریتمهایی در TLS که در برابر نیروی بیرحم در رایانههای کوانتومی مقاوم هستند.
- TLS 1.3 از منحنی های بیضوی ایمن Brainpool پشتیبانی می کند.
- پشتیبانی از دستورالعمل های پردازنده SM4-XTS اضافه شده است.
- بر روی پلت فرم Windows امکان استفاده از مخزن گواهی ریشه سیستم (به طور پیشفرض غیرفعال است) پیادهسازی شده است. برای دسترسی به گواهیها در مخزن Windows آدرس اینترنتی پیشنهادی "org.openssl.winstore://" است.
منبع: opennet.ru
