OpenSSL 3.6.0, SSL/TLS протоколдарының және әртүрлі шифрлау алгоритмдерінің іске асырылуы шығарылды. OpenSSL 3.6 - 13 ай бойы жаңартулары бар тұрақты қолдау нұсқасы. Алдыңғы OpenSSL шығарылымдарына қолдау көрсету — 3.5 LTS, 3.4, 3.3, 3.2 және 3.0 LTS — сәйкесінше 2030 жылдың сәуіріне, 2026 жылдың қазанына, 2026 жылдың сәуіріне, 2025 жылдың қарашасына және 2026 жылдың қыркүйегіне дейін жалғасады. Жоба коды Apache 2.0 лицензиясы бойынша лицензияланған.
Негізгі инновациялар:
- Симметриялық кілттерді мөлдір емес нысандар ретінде көрсетуге арналған EVP_SKEY (Симметриялық Кілт) құрылымына қолдау қосылды. Байт массиві ретінде ұсынылатын өңделмеген кілттерден айырмашылығы, EVP_SKEY кілт құрылымын абстракциялайды және қосымша метадеректерді қамтиды. EVP_SKEY шифрлау, кілт алмасу және кілттерді шығару (KDF) функцияларында қолданылуы мүмкін. EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY() және EVP_PKEY_derive_SKEY() функциялары EVP_SKEY пернелерімен жұмыс істеу үшін қосылды.
- Leighton-Micali Signatures (LMS) схемасына негізделген цифрлық қолтаңбаны тексеруге қолдау қосылды, ол хэш функцияларын және Merkle Tree түріндегі ағашқа негізделген хэштеуді пайдаланады (әр филиал барлық негізгі тармақтар мен түйіндерді тексереді). LMS цифрлық қолтаңбалары кванттық компьютерде дөрекі күшпен тестілеуге төзімді және микробағдарламалар мен қолданбалардың тұтастығын тексеруге арналған.
- PKEY нысан параметрлері (ашық және жеке кілттер) үшін NIST қауіпсіздік санаттарына қолдау қосылды. Қауіпсіздік санаты «қауіпсіздік санаты» параметрі арқылы орнатылады. Қауіпсіздік деңгейін тексеру үшін EVP_PKEY_get_security_category() функциясы қосылды. Қауіпсіздік деңгейі кванттық компьютерлерге дөрекі күш шабуылдарына төзімділікті көрсетеді және 0-ден 5-ке дейінгі бүтін мәндерді қабылдай алады:
- 0 - кванттық компьютерлерде бұзуға төзімді емес іске асыру;
- 1/3/5 — іске асыру 128/192/256 биттік кілті бар блоктық шифрдегі кілтті кванттық компьютерде іздеуді жоққа шығармайды;
- 2/4 - іске асыру кванттық компьютерде 256/384 биттік хэште коллизияны іздеу мүмкіндігін жоққа шығармайды).
- Конфигурация файлдарын өңдеу үшін "openssl configutl" пәрмені қосылды. Бұл қызметтік бағдарлама құрамында бар көп файлды конфигурациядан барлық параметрлері бар біріктірілген файлды жасауға мүмкіндік береді.
- FIPS криптографиялық провайдері FIPS 186-5 стандартының талаптарына сәйкес ECDSA сандық қолтаңбаларының детерминирленген генерациясын (бірдей қолтаңба бірдей кіріс деректерімен жасалады) қолдау үшін жаңартылды.
- Құрылыс ортасына қойылатын талаптар күшейтілді. OpenSSL құру енді ANSI-C қолдауы бар құралдарды қажет етпейді; енді C-99 стандартымен үйлесімді компилятор қажет.
- EVP_PKEY_ASN1_METHOD құрылымына қатысты функциялар ескірген.
- VxWorks платформасына қолдау көрсету тоқтатылды.
Бекітілген осалдықтар:
- CVE-2025-9230 — құпия сөзбен шифрланған CMS хабарларына (PWRI) арналған шифрды шешу кодындағы осалдық. Осалдық шектен тыс деректердің жазылуына немесе оқылуына әкелуі мүмкін, бұл CMS хабарламаларын өңдеу үшін OpenSSL қолданатын қолданбада бұзылуға немесе жадтың бұзылуына әкелуі мүмкін. Бұл осалдықты кодты орындау үшін пайдалану мүмкін болса да, мәселенің ауырлығы құпия сөзбен шифрланған CMS хабарламаларының іс жүзінде сирек пайдаланылуымен жеңілдетіледі. OpenSSL 3.6.0 нұсқасына қоса, осалдық OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 және 3.0.18 нұсқаларында түзетілді. Бұл мәселе OpenBSD жобасы әзірлеген кітапхана LibreSSL 4.0.1 және 4.1.1 нұсқаларында да түзетілді.
- CVE-2025-9231 — SM2 алгоритмін енгізу бүйірлік арна шабуылына осал. 64 биттік ARM процессорлары бар жүйелерде бұл жеке есептеулердің уақытын талдау арқылы жеке кілтті қалпына келтіруге мүмкіндік береді. Шабуыл қашықтан жасалуы мүмкін. Шабуыл қаупі OpenSSL-тің TLS жүйесінде SM2 кілттері бар сертификаттарды пайдалануды тікелей қолдамайтындығымен азайтылады.
- CVE-2025-9232 — HTTP клиенті функцияларында арнайы жасалған URL мекенжайын өңдеу кезінде деректерді шектен тыс оқуға мүмкіндік беретін кірістірілген HTTP клиентінің іске асырылуындағы осалдық. Мәселе "no_proxy" ортасының айнымалы мәні орнатылғанда ғана көрінеді және қолданбаның бұзылуына әкелуі мүмкін.
Ақпарат көзі: opennet.ru
