OpenSSL 3.2.0-ի թողարկում QUIC արձանագրության հաճախորդի աջակցությամբ

Ութ ամիս տևած մշակումից հետո, OpenSSL 3.2.0 գրադարանի թողարկումը ձևավորվել է՝ SSL/TLS արձանագրությունների և տարբեր կոդավորման ալգորիթմների ներդրմամբ: OpenSSL 3.2-ը կաջակցվի մինչև 23 թվականի նոյեմբերի 2025-ը: OpenSSL 3.1 և 3.0 LTS-ի նախորդ ճյուղերի աջակցությունը կտևի համապատասխանաբար մինչև 2025 թվականի մարտը և 2026 թվականի սեպտեմբերը: 1.1.1 ճյուղի աջակցությունն ավարտվել է այս տարվա սեպտեմբերին: Նախագծի կոդը տարածվում է Apache 2.0 լիցենզիայի ներքո:

OpenSSL 3.2.0-ի հիմնական նորամուծությունները.

  • Ավելացվել է QUIC արձանագրության (RFC 9000) հաճախորդի աջակցությունը, որն օգտագործվում է որպես HTTP/3 արձանագրությունում փոխադրող միջոց: Իրականացումը, ի թիվս այլ բաների, ներառում է մեկ կապի ալիքով բազմաթիվ հոսքեր փոխանցելու հնարավորություն: QUIC-ը օգտագործելու բաղադրիչներ սերվերներ կներառվի OpenSSL 3.3 թողարկման մեջ, որը նախատեսվում է հրապարակել ոչ ուշ, քան 2024 թվականի ապրիլի 30-ը։

    QUIC-ը UDP արձանագրության վերին կառուցվածք է, որը աջակցում է բազմաթիվ կապերի մուլտիպլեքսավորումը և ապահովում է TLS/SSL-ին համարժեք կոդավորման մեթոդներ: Արձանագրությունը ստեղծվել է 2013 թվականին Google-ի կողմից՝ որպես վեբի համար նախատեսված TCP+TLS փաթեթի այլընտրանք՝ լուծելով TCP-ում կապերի հաստատման և բանակցման երկարատև ժամանակի հետ կապված խնդիրները և վերացնելով տվյալների փոխանցման ընթացքում փաթեթների կորստի պատճառով առաջացող ուշացումները:

  • TLS-ը աջակցում է վկայագրերի սեղմման ընդլայնումը կապի բանակցային փուլում (RFC 8879), որը թույլ է տալիս ավելի արագ կապ հաստատել, քանի որ վկայագրերի տվյալների փոխանցումը կազմում է կապի բանակցային փուլում տրաֆիկի առյուծի բաժինը: Սեղմումը աջակցվում է zlib, zstd և Brotli գրադարանների միջոցով:
  • Ավելացվել է դետերմինիստական ​​ECDSA թվային ստորագրության տարբերակի (Deterministic ECDSA, RFC 6979) աջակցությունը, որն օգտագործում է ստորագրվող հաղորդագրության տեքստի և մասնավոր բանալու HMAC-SHA256 հեշը՝ ստորագրման ժամանակ պատահական հաջորդականության փոխարեն, ինչը թույլ է տալիս միշտ ստանալ նույն ստորագրությունը տարբեր ստորագրման գործողություններում, բայց թույլ չի տալիս տվյալների արտահոսք, որը կարող է օգտագործվել մասնավոր բանալին գուշակելու համար (մասնավոր բանալին կարելի է գուշակել, եթե տարբեր տվյալների համար ստեղծվում են առնվազն երկու ստորագրություններ՝ կրկնվող պատահական հաջորդականության միջոցով):
  • Ավելացվել է Ed25519 և Ed448 հանրային բանալիով թվային ստորագրությունների ընդլայնված տարբերակների աջակցություն՝ Ed25519ctx, Ed25519ph և Ed448ph (RFC 8032):
  • Ավելացվել է AES-GCM-SIV կոդավորման ռեժիմի (RFC 8452) աջակցությունը, որը համատեղում է GCM ռեժիմի (Galois/Counter Mode) բարձր արդյունավետությունը արտահոսքերի դիմադրության հետ՝ պատահական ոչ կոդի վերօգտագործման դեպքում։
  • 2 թվականի գաղտնաբառերի հեշավորման ֆունկցիայի մրցույթում հաղթած Argon9106 բանալիների գեներացման ֆունկցիան (RFC 2015) ներդրվել է։ Ավելացվել է թելերի հավաքածու օգտագործելու հնարավորություն։
  • Ավելացվել է հիբրիդային կոդավորման աջակցություն՝ հիմնված HPKE (Hybrid Public Key Encryption, RFC 9180) մեխանիզմի վրա, որը համատեղում է հանրային բանալու կոդավորման մեջ բանալու փոխանցման հեշտությունը սիմետրիկ կոդավորման բարձր արդյունավետության հետ (տվյալները կոդավորվում են արագ սիմետրիկ բանալիով, իսկ բանալին ինքնին կոդավորվում է դանդաղ ասիմետրիկ բանալիով):
  • TLS-ը իրականացնում է հում հանրային բանալիներ օգտագործելու հնարավորությունը (RFC 7250):
  • Ավելացվել է TCP Fast Open (TFO, RFC 7413) մեխանիզմի աջակցությունը, որը նվազեցնում է կապի կարգավորման քայլերի քանակը՝ դասական 3-քայլանոց կապի բանակցային գործընթացի առաջին և երկրորդ քայլերը մեկ հարցման մեջ համատեղելով և հնարավորություն է տալիս տվյալներ ուղարկել կապի կարգավորման սկզբնական փուլում։
  • TLS-ը ներդնում է միացվող թվային ստորագրության սխեմաների աջակցություն, որոնք թույլ են տալիս օգտագործել ալգորիթմների երրորդ կողմի իրականացումներ, օրինակ՝ TLS-ում քվանտային-դիմացկուն ալգորիթմների օգտագործման համար։
  • TLS 1.3-ը ավելացնում է Brainpool-ի անվտանգ էլիպտիկ կորերի աջակցություն։
  • Ավելացվել է SM4-XTS պրոցեսորի հրահանգների աջակցություն։
  • Պլատֆորմում Windows Համակարգի արմատային վկայականների պահոցն օգտագործելու հնարավորությունը ներդրվել է (ըստ լռելյայնի՝ անջատված է): Պահոցում վկայականներին մուտք գործելու համար Windows Առաջարկվող URI-ն է՝ "org.openssl.winstore://":

Source: opennet.ru

Գնեք հուսալի հոստինգ DDoS պաշտպանությամբ կայքերի, VPS VDS սերվերների համար 🔥 Գնեք հուսալի կայքերի հոսթինգ՝ DDoS պաշտպանությամբ, VPS VDS սերվերներով | ProHoster