Lanzamento de OpenSSL 3.2.0 con soporte de cliente para o protocolo QUIC

Despois de oito meses de desenvolvemento, o lanzamento da biblioteca OpenSSL 3.2.0 formouse coa implementación dos protocolos SSL/TLS e varios algoritmos de cifrado. OpenSSL 3.2 será compatible ata o 23 de novembro de 2025. O soporte para ramas anteriores de OpenSSL 3.1 e 3.0 LTS continuará ata marzo de 2025 e setembro de 2026, respectivamente. O soporte para a rama 1.1.1 interrompeuse en setembro deste ano. O código do proxecto distribúese baixo a licenza Apache 2.0.

Principais novidades de OpenSSL 3.2.0:

  • Engadiuse compatibilidade co cliente para o protocolo QUIC (RFC 9000), empregado como transporte no protocolo HTTP/3. A implementación inclúe, entre outras cousas, a capacidade de transmitir varios fluxos a través dun único canal de comunicación. Compoñentes para usar QUIC en servidores incluirase na versión 3.3 de OpenSSL, cuxa publicación está prevista para o 30 de abril de 2024, como moi tarde.

    QUIC é unha extensión do protocolo UDP que admite a multiplexación de varias conexións e proporciona métodos de cifrado equivalentes a TLS/SSL. O protocolo foi creado en 2013 por Google como unha alternativa á combinación TCP+TLS para a Web, resolvendo problemas con longos tempos de configuración de conexión e negociación en TCP e eliminando os atrasos cando se perden paquetes durante a transferencia de datos.

  • TLS implementa soporte para unha extensión para a compresión de certificados na fase de negociación da conexión (RFC 8879), que permite unha configuración máis rápida da conexión xa que a transferencia de datos do certificado representa a maior parte do tráfico durante a etapa de negociación da conexión. Admítese a compresión usando as bibliotecas zlib, zstd e Brotli.
  • Engadido soporte para unha versión determinista das sinaturas dixitais ECDSA (Deterministic ECDSA, RFC 6979) na que, en lugar dunha secuencia aleatoria ao xerar unha sinatura, se utiliza o hash HMAC-SHA256 da clave privada e do texto da mensaxe asinada, que permite recibir sempre a mesma sinatura en diferentes operacións de sinatura, pero non permite a fuga de datos que se poden usar para adiviñar a chave privada (pódese adiviñar a chave privada se se xeran polo menos dúas sinaturas para datos diferentes utilizando unha repetición aleatoria). secuencia).
  • Engadiuse compatibilidade para as sinaturas dixitais de clave pública Ed25519 e Ed448 ampliadas: Ed25519ctx, Ed25519ph e Ed448ph (RFC 8032).
  • Engadido soporte para o modo de cifrado AES-GCM-SIV (RFC 8452), que combina o alto rendemento do modo GCM (Galois/Counter Mode) coa resistencia ás fugas ao reutilizar código nonce aleatorio.
  • Implementouse a función de xeración de claves Argon2 (RFC 9106), que gañou o concurso de funcións de hash de contrasinais en 2015. Engadida a posibilidade de usar un grupo de fíos.
  • Engadiuse compatibilidade para o cifrado híbrido baseado no mecanismo HPKE (Hybrid Public Key Encryption, RFC 9180), que combina a sinxeleza da transferencia de claves no cifrado de claves públicas co alto rendemento do cifrado simétrico (os datos cífranse cunha clave simétrica rápida e o a propia clave está cifrada cunha lenta asimétrica).
  • TLS implementa a capacidade de usar chaves públicas "en bruto" (RFC 7250).
  • Engadiuse compatibilidade para o mecanismo de apertura rápida da conexión TCP (TFO - TCP Fast Open, RFC 7413), que lle permite reducir o número de pasos de configuración da conexión combinando o primeiro e o segundo pasos do proceso clásico de negociación de conexión de 3 pasos nunha única solicitude. e permite enviar datos na fase inicial de configuración da conexión.
  • TLS implementa soporte para esquemas de sinatura dixital conectables, permitindo o uso de implementacións de algoritmos de terceiros, por exemplo, para o uso de algoritmos en TLS que son resistentes á forza bruta en computadoras cuánticas.
  • TLS 1.3 engade soporte para curvas elípticas seguras de Brainpool.
  • Engadido soporte para as instrucións do procesador SM4-XTS.
  • Na plataforma Windows Implementouse a capacidade de usar o almacén de certificados raíz do sistema (desactivada por defecto). Para acceder aos certificados no almacén Windows O URI suxerido é "org.openssl.winstore://".

Fonte: opennet.ru

Compre hospedaxe fiable para sitios con protección DDoS, servidores VPS VDS 🔥 Compra aloxamento web fiable con protección DDoS, servidores VPS VDS | ProHoster