OpenSSL 3.5: Novi post-kvantni algoritmi i poboljšanja TLS-a i QUIC-a

  • Inkorporacija post-kvantnih kriptografskih algoritama kao što su ML-KEM, ML-DSA i SLH-DSA.
  • Potpuna podrška za QUIC na strani servera uključujući eksterne stekove i 0-RTT.
  • Važne promjene zadanih postavki kao što je zadano šifriranje na aes-256-cbc umjesto des-ede3-cbc.
  • Nove API opcije i poboljšanja kao što su EVP_SKEY, centralizirani CMP i napredne opcije konfiguracije.
Pablinux

4 minuta

Otvorite SSL 3.5

Projekat OpenSSL On je lansirao verzija 3.5.0, veliko ažuriranje njegove popularne kriptografske biblioteke otvorenog koda, koja se naširoko koristi za osiguravanje sigurnog prijenosa podataka u aplikacijama i web stranicama. Ovo izdanje ne samo da predstavlja korak naprijed u sajber sigurnosti, već i strateški potez za rješavanje izazova koje postavlja kvantno računarstvo.

Objavljeno 8. aprila 2025., OpenSSL 3.5.0 Sa sobom donosi ključne inovacije kao što je podrška za post-kvantnu kriptografiju, implementacija QUIC protokola na strani servera i važna prilagođavanja TLS konfiguracija, što ovu verziju čini jednom od najznačajnijih u posljednjih nekoliko godina.

OpenSSL 3.5 uvodi napredak u post-kvantnoj kriptografiji (PQC)

Otvorite SSL 3.5.0 On predstavlja podršku za kriptografske algoritme dizajnirane da odole napadima budućih kvantnih računara., u skladu sa standardima koje je predložio NIST (Nacionalni institut za standarde i tehnologiju SAD). Ugrađena su tri osnovna algoritma:

  • ML-KEM (ranije poznat kao CRYSTALS-Kyber) za razmjenu ključeva.
  • ML-DSA (ranije CRYSTALS-Dilithium), robusni algoritam digitalnog potpisa.
  • SLH-DSA, zasnovan na SPHINCS+, koji nudi sigurnu alternativu bez državljanstva drugim digitalnim potpisima.

Ove metode su odobrene kao FIPS standardi (203, 204 i 205) 2024. nakon opsežnog procesa evaluacije koji je pokrenut 2016. godine, u kojem je učestvovalo nekoliko međunarodnih stručnjaka, uključujući njemačke istraživače. Da biste saznali više o standardima kibernetičke sigurnosti, možete se obratiti Uticaj Wolfsbanea na modernu sajber sigurnost.

Potpuna podrška za QUIC na strani servera

Još jedan od izvanrednih noviteta je Integracija podrške za QUIC (Quick UDP Internet Connections) kao server, prema RFC 9000. Ovaj protokol nove generacije, koji obećava brže i sigurnije veze od TCP-a, sada je u potpunosti dostupan u OpenSSL-u. Osim toga:

  • Podržana je podrška za QUIC vanjske baterije, širenje mogućnosti implementacije.
  • Dodata je podrška za 0-RTT veze, koji omogućava uspostavljanje komunikacija bez potrebe za nekoliko početnih razmjena, značajno ubrzavajući proces.

Promjene zadanih i sigurnosnih parametara

Verzija 3.5.0 takođe redefinira elemente koji utječu na zadano ponašanje biblioteke, što može zahtijevati prilagođavanja od strane programera:

  • Zadana enkripcija za aplikacije req, cms y smime je sada aes-256-cbc, zamjenjujući već zastarjeli des-ede3-cbc.
  • Prilagođena lista podržanih grupa u TLS-u kako bi se dali prioriteti post-kvantnim hibridnim KEM-ovima, eliminirajući te grupe sa malo ili nimalo koristi.
  • Skupovi dijeljenja ključeva u TLS-u su izmijenjeni; X25519MLKEM768 se sada nudi uz X25519 po defaultu, jačajući razmjenu ključeva.
  • Sve funkcije su zastarjele BIO_meth_get_*(), kao korak ka modernizaciji BIO API-ja.

Opcije konfiguracije i nove mogućnosti u OpenSSL 3.5

OpenSSL 3.5 uključuje nove opcije koje omogućavaju veću kontrolu nad ponašanjem biblioteke., posebno u regulisanim okruženjima ili gde je bezbednost kritična:

  • no-tls-deprecated-ec: Onemogućuje podršku za zastarjele eliptičke krive definirane u RFC 8422.
  • enable-fips-jitter: omogućava dobavljaču FIPS da koristi izvor entropije JITTER, poboljšavajući slučajnost u generiranju ključeva.
  • Uvod u EVP_SKEY: omogućava rukovanje neprozirnim simetričnim ključevima, što povećava sigurnost apstrahiranjem direktnog pristupa ključevima.
  • Podrška za centralizirano generiranje ključeva u CMP-u, olakšavanje upravljanja certifikatima.
  • Implementacija API podrške za cjevovod u algoritmima šifriranja, optimiziranje kriptografskih operacija.

Poznati problemi i sljedeći koraci

Trenutno je identificirana greška vezana za funkciju SSL_accept kada se koristi na objektima vraćenim iz SSL_accept_connection. Umjesto da unaprijedi rukovanje kako se očekivalo, to nema efekta. Programeri preporučuju korištenje SSL_do_handshake kao privremeno rješenje za vrijeme rada na popravci koja se očekuje za verziju 3.5.1.

Potvrđeno je da je OpenSSL 3.5 a LTS (Long-Term Support) verzija, sa zagarantovanom podrškom do aprila 2030. Sljedeća verzija (3.6) je već planirana za oktobar 2025. godine.

Ova evolucija OpenSSL-a naglašava kontinuirani napor zajednice da osigura sigurnu infrastrukturu za budućnost.. Incorporate algoritmi otporni na kvantno računarstvo, poboljšati savremeni protokoli kao QUIC i modernizovati podrazumevane postavke su jasni znakovi posvećenosti prilagodljivosti i sigurnosti u digitalnom svijetu koji se sve više mijenja.

Vezani članak:
Google je donirao milion dolara za poboljšanje sigurnosti otvorenog koda, a finansirat će i sigurnosnu reviziju osam velikih projekata

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.