Efter Ätta mÄnaders utveckling har OpenSSL 3.2.0-biblioteket slÀppts, som implementerar SSL/TLS-protokollen och olika krypteringsalgoritmer. OpenSSL 3.2 kommer att stödjas fram till den 23 november 2025. Stödet för de tidigare OpenSSL 3.1- och 3.0 LTS-grenarna kommer att fortsÀtta till mars 2025 respektive september 2026. Stödet för 1.1.1-grenen upphörde i september i Är. Projektkoden distribueras under Apache 2.0-licensen.
Nya nyckelfunktioner i OpenSSL 3.2.0:
- Lade till klientstöd för QUIC-protokollet (RFC 9000), som anvÀnds som transport i HTTP/3-protokollet. Implementeringen inkluderar bland annat möjligheten att överföra flera strömmar över en enda kommunikationskanal. Komponenter för att anvÀnda QUIC pÄ servrar kommer att inkluderas i OpenSSL 3.3-utgÄvan, som Àr planerad att publiceras senast den 30 april 2024.
QUIC Àr ett lager ovanpÄ UDP-protokollet som stöder multiplexering av flera anslutningar och ger krypteringsmetoder motsvarande TLS/SSL. Protokollet skapades 2013 av Google som ett alternativ till TCP+TLS-paketet för webben, vilket löser problemen med den lÄnga tid det tar att upprÀtta och förhandla anslutningar i TCP och eliminerar förseningar nÀr paket gÄr förlorade under dataöverföring.
- TLS stöder en förlÀngning för komprimering av certifikat under anslutningsförhandlingsskedet (RFC 8879), vilket möjliggör snabbare anslutningsinstÀllning eftersom överföringen av certifikatdata stÄr för den största delen av trafiken under anslutningsförhandlingsstadiet. Komprimering med zlib, zstd och Brotli bibliotek stöds.
- Lade till stöd för det deterministiska ECDSA digitala signaturalternativet (Deterministic ECDSA, RFC 6979), som anvÀnder HMAC-SHA256-hash för den privata nyckeln och texten i meddelandet som signeras istÀllet för en slumpmÀssig sekvens vid generering av en signatur, vilket gör att du alltid kan fÄ samma signatur i olika signeringsoperationer, men tillÄter inte att den privata nyckeln anvÀnds för att gissa privata datalÀckage ( minst tvÄ signaturer för olika data genereras med anvÀndning av en upprepande slumpmÀssig sekvens).
- Tillagt stöd för utökade varianter av Ed25519 och Ed448 digitala signaturer med offentlig nyckel: Ed25519ctx, Ed25519ph och Ed448ph (RFC 8032).
- Tillagt stöd för AES-GCM-SIV-krypteringslÀget (RFC 8452), som kombinerar den höga prestandan i GCM-lÀget (Galois/Counter Mode) med motstÄnd mot lÀckor vid ÄteranvÀndning av en slumpmÀssig icke-kod.
- Argon2-nyckelgenereringsfunktionen (RFC 9106), som vann 2015 Password Hash Function Competition, har implementerats. Lade till möjligheten att anvÀnda en trÄdpool.
- Tillagt stöd för hybridkryptering baserad pÄ mekanismen HPKE (Hybrid Public Key Encryption, RFC 9180), som kombinerar enkelheten för nyckelöverföring i kryptering av offentlig nyckel med hög prestanda för symmetrisk kryptering (data krypteras med en snabb symmetrisk nyckel, och sjÀlva nyckeln krypteras med en lÄngsam asymmetrisk nyckel).
- TLS implementerar möjligheten att anvÀnda offentliga rÄnycklar (RFC 7250).
- Tillagt stöd för mekanismen TCP Fast Open (TFO, RFC 7413), som minskar antalet steg för anslutningsinstallation genom att kombinera det första och andra steget i den klassiska 3-stegs anslutningsförhandlingsprocessen i en begÀran och gör det möjligt att skicka data i det inledande skedet av anslutningsinstallationen.
- TLS implementerar stöd för pluggbara digitala signatursystem som tillÄter anvÀndning av tredjepartsimplementationer av algoritmer, till exempel för anvÀndning av kvantresistenta algoritmer i TLS.
- TLS 1.3 lÀgger till stöd för Brainpool sÀkra elliptiska kurvor.
- Tillagt stöd för SM4-XTS-processorinstruktioner.
- PÄ plattformen Windows Möjligheten att anvÀnda systemets rotcertifikatarkiv har implementerats (inaktiverat som standard). För att komma Ät certifikat i arkivet Windows Den föreslagna URI:n Àr "org.openssl.winstore://".
KĂ€lla: opennet.ru
