Nova poslovnica OpenSSL 3.6 Sada je dostupno, šest mjeseci kasnije prethodni, veliko ažuriranje popularnog skupa kriptografskih biblioteka otvorenog koda. Dolazi s funkcionalnim promjenama, sigurnosnim poboljšanjima i optimizacijama performansi koje utječu i na servere i na klijentske aplikacije.
Pored uključivanja podrške za najnovije tehnologije i prilagođavanja koja zahtijevaju standardi, ovo izdanje uvodi uslužne programe i API-je koji pojednostavljuju integraciju. Na praktičnom nivou, interne provjere su pooštrene, interoperabilnost je poboljšana, a kritični putevi šifriranja su fino podešeni na više arhitektura.
Ključne nove funkcije i protokoli u OpenSSL-u 3.6
Među najvidljivijim promjenama je verifikacija potpisa. LMS kompatibilan s NIST SP 800-208 kod FIPS provajdera i po defaultu, zajedno s dolaskom neprozirnih EVP_SKEY simetričnih ključnih objekata za metode izvođenja i razmjene ključeva, dostupnih putem EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY() y EVP_PKEY_derive_SKEY().
- CMS uključuje podršku za KEMRecipientInfo (RFC 9629) i ML-KEM (nacrt-ietf-lamps-cms-kyber), olakšavajući korištenje kriptografije otporne na buduće kvantne protivnike.
- Server može omogućiti OCSP višestruko spajanje u TLS 1.3, poboljšavajući isporuku statusa opoziva za lance s više certifikata.
- Dozvoljeno je definirati "slobodni funckijski thunk" u tipovima stekova.
OPENSSL_sk, što daje veću kontrolu nad oslobađanjem resursa.
Sigurnost i usklađenost sa FIPS-om
Verzija pojačava garancije u validiranom režimu sa FIPS 140-3 testovi samoprovjere (PCT): pri generiranju DH ključeva, pri uvozu ključeva za SLH-DSA pri korištenju FIPS-a i kod FIPS provajdera pri uvozu RSA, EC i ECX ključeva, u skladu s vodičem IG 10.3.
Ovom provajderu se također dodaje podrška za Determinističko generiranje ECDSA potpisa prema FIPS 186-5, a uključene su i NIST sigurnosne kategorije za PKEY objekte, što olakšava klasifikaciju i primjenu politika na osnovu potrebnog kriptografskog nivoa.
Optimizacije performansi i arhitekture u OpenSSL-u 3.6
Na x86_64, OpenSSL 3.6 uključuje optimizacije Intel AVX-512 i VAES za AES-CFB128, sa značajnim poboljšanjima u intenzivnim radnim opterećenjima. AArch64 (64-bitni ARM) dodaje podršku za AES-CBC+HMAC-SHA algoritam s isprepletenim radom, dizajniran za ubrzavanje scenarija autentificiranog šifriranja.
Arhitektura LoongArch dobija asemblersku implementaciju SHA-2 radi povećanja performansi, dok QUIC stek dodaje obavještenje kada su svi FIN-ovi tokova potvrđeni, proslijedivši korisne informacije na ravan aplikacije.
Promjene u kompilaciji i alatima
Projekat definitivno napušta ANSI-C kompajlere: od sada nadalje lanac alata sa Karakteristike C99 za izgradnju OpenSSL-a. Uz ovo, dodaje se i uslužni program openssl configutl, dizajniran za obradu konfiguracijske datoteke i ispis ekvivalentne.
U oblasti održavanja, ukida podršku za VxWorks i funkcije povezane s njima su zastarjele EVP_PKEY_ASN1_METHODOsim toga, aplikacija uključuje nove opcije CRYPTO_MEM_SEC y CRYPTO_MEM_SEC_MINSIZE da eksplicitno inicijalizira sigurnu memoriju.
Formati, interoperabilnost i robusnost
Zadani parametar je povećan PKCS12 macsaltlen od 8 do 16 (usklađeno sa NIST SP 800-132) i poboljšava interoperabilnost novih PKCS12 skladišta između FIPS i ne-FIPS implementacija, smanjujući trenje u migracijama i revizijama.
U sloju korisnosti, openssl req više ne generira certifikate s praznom listom ekstenzija kada SKID/AKID su postavljeni na "ništa"Pored toga, dodaje se provjera nedostatka kako bi se ojačala javna RSA operacija "šifriranja": izlazni bafer koji je naznačio pozivalac mora biti barem veličine modula u bajtovima.
Rukovanje HMAC ključevima je zastarjelo sigurne memorijske rezerve (izbjegavanje nepotrebnih prekomjernih troškova u ovom slučaju) i API CRYPTO_THREAD__local je proširen kako bi se smanjila ovisnost o TLS varijablama specifičnim za operativni sistem.
Dostupnost i podrška
Izdanje OpenSSL 3.6 smatra se konačnim i stabilnim, sa redovna podrška ciklusu tokom dvije godineProjektni tim pozdravlja doprinose zajednice; bilješke o izdanju i izvorni kod dostupni su na službeno spremište za one koji žele kompajlirati iz izvornog koda.
Ovo izdanje jača sigurnosni stub strožim FIPS kontrolama, proširuje mogućnosti protokola kao što su CMS i TLS i maksimizira performanse na popularnim arhitekturama; istovremeno, modernizuje okruženje za izgradnju i pojednostavljuje administraciju s novim uslužnim programima i poboljšanjima interoperabilnosti.