OpenSSL 3.5: новые постквантовые алгоритмы и улучшения TLS и QUIC

  • Внедрение постквантовых криптографических алгоритмов, таких как ML-KEM, ML-DSA и SLH-DSA.
  • Полная поддержка QUIC на стороне сервера, включая внешние стеки и 0-RTT.
  • Важные изменения в настройках по умолчанию, такие как шифрование по умолчанию на aes-256-cbc вместо des-ede3-cbc.
  • Новые возможности API и улучшения, такие как EVP_SKEY, централизованный CMP и расширенные возможности конфигурации.
Pablinux

4 минут

Откройте SSL 3.5

В рамках проекта OpenSSL запущенный версия 3.5.0, крупное обновление популярной криптографической библиотеки с открытым исходным кодом, широко используемой для обеспечения безопасной передачи данных в приложениях и на веб-сайтах. Этот релиз представляет собой не только шаг вперед в области кибербезопасности, но и стратегический шаг по решению проблем, связанных с квантовыми вычислениями.

Выпущено 8 апреля 2025 г., OpenSSL 3.5.0 Он приносит с собой ключевые инновации, такие как поддержка постквантовой криптографии., реализация серверного протокола QUIC и важные изменения в конфигурациях TLS, что делает эту версию одной из самых значимых за последние годы.

OpenSSL 3.5 представляет достижения в области постквантовой криптографии (PQC)

Откройте SSL 3.5.0 Впервые реализована поддержка криптографических алгоритмов, предназначенных для противостояния атакам со стороны будущих квантовых компьютеров., соответствующие стандартам, предложенным NIST (Национальным институтом стандартов и технологий США). Были внедрены три основных алгоритма:

  • МЛ-КЕМ (ранее известный как CRYSTALS-Kyber) для обмена ключами.
  • ML-DSA (ранее CRYSTALS-Dilithium), надежный алгоритм цифровой подписи.
  • SLH-DSA, основанный на SPHINCS+, который предлагает безопасную альтернативу другим цифровым подписям без сохранения состояния.

Эти методы были утверждены в качестве стандартов FIPS (203, 204 и 205) в 2024 году. после обширного процесса оценки, начатого в 2016 году, в котором приняли участие несколько международных экспертов, включая немецких исследователей. Чтобы узнать больше о стандартах кибербезопасности, вы можете обратиться к нам Влияние аконита на современную кибербезопасность.

Полная поддержка QUIC на стороне сервера

Еще одной выдающейся новинкой является Интеграция поддержки QUIC (Quick UDP Internet Connections) в качестве сервера, согласно RFC 9000. Этот протокол следующего поколения, обещающий более быстрые и безопасные соединения, чем TCP, теперь полностью доступен в OpenSSL. Кроме:

  • Поддерживается поддержка внешних аккумуляторов QUIC., расширяя возможности реализации.
  • Добавлена ​​поддержка соединений 0-RTT., что позволяет устанавливать связь без необходимости нескольких первоначальных обменов, что значительно ускоряет процесс.

Изменения параметров по умолчанию и безопасности

Версия 3.5.0 тоже переопределяет элементы, влияющие на поведение библиотеки по умолчанию, что может потребовать корректировки со стороны разработчиков:

  • Шифрование по умолчанию для приложений req, cms y smime сейчас aes-256-cbc, заменяя уже устаревшие des-ede3-cbc.
  • Скорректирован список поддерживаемых групп в TLS для приоритизации постквантовых гибридных KEM., устраняя те группы, которые малопригодны или бесполезны.
  • Пулы ключей в TLS были изменены; X25519MLKEM768 теперь предлагается по умолчанию вместе с X25519, что усиливает обмен ключами.
  • Все функции устарели BIO_meth_get_*(), в качестве шага на пути к модернизации BIO API.

Параметры конфигурации и новые возможности OpenSSL 3.5

OpenSSL 3.5 включает новые параметры, которые обеспечивают больший контроль над поведением библиотеки., особенно в регулируемых средах или там, где безопасность имеет решающее значение:

  • no-tls-deprecated-ec: Отключает поддержку устаревших эллиптических кривых, определенных в RFC 8422.
  • enable-fips-jitter: позволяет поставщику FIPS использовать источник энтропии JITTER, улучшая случайность при генерации ключей.
  • Представление о EVP_SKEY: позволяет обрабатывать непрозрачные симметричные ключи, что повышает безопасность за счет абстрагирования прямого доступа к ключам.
  • Поддержка централизованной генерации ключей в CMP, облегчая управление сертификатами.
  • Реализация поддержки API для конвейеризации в алгоритмах шифрования, оптимизируя криптографические операции.

Известные проблемы и дальнейшие действия

В настоящее время обнаружена ошибка, связанная с функцией. SSL_accept при использовании на объектах, возвращенных из SSL_accept_connection. Вместо ожидаемого продвижения рукопожатия оно не оказывает никакого эффекта. Разработчики рекомендуют использовать SSL_do_handshake как временное решение на время работы над исправлением, ожидаемым в версии 3.5.1.

OpenSSL 3.5 был подтвержден как Версия LTS (долгосрочная поддержка), с гарантированной поддержкой до апреля 2030 года. Следующая версия (3.6) уже запланирована на октябрь 2025 года.

Эта эволюция OpenSSL подчеркивает постоянные усилия сообщества по обеспечению безопасной инфраструктуры в будущем.. Включить алгоритмы, устойчивые к квантовым вычислениям, улучшать современные протоколы как QUIC и модернизировать настройки по умолчанию являются явными признаками приверженности принципам адаптивности и безопасности во все более меняющемся цифровом мире.

Теме статьи:
Google пожертвовал 1 миллион долларов на улучшение безопасности с открытым исходным кодом, а также профинансирует аудит безопасности восьми крупных проектов.

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.