Se acaba de dar a conocer el lanzamiento de la nueva versión de OpenSSL 3.2.0, la cual llega casi poco después de ocho meses de desarrollo y llega integrando mejoras de compatibilidad, asi como también de soporte para el cifrado híbrido basado en HPKE, entre otras cosas más.
Para quienes desconocen de OpenSSL deben saber que este es un proyecto de software libre basado en SSLeay, el cual consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS).
Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad, como el Transport Layer Security (TLS). OpenSSL también permite crear certificados digitales que pueden aplicarse a un servidor, por ejemplo Apache.
Principales novedades de OpenSSL 3.2.0
En esta nueva versión que se presenta de OpenSSL 3.2.0, se destaca que se ha añadido el soporte para el cliente del protocolo QUIC (RFC 9000), el cual se utiliza como transporte en el protocolo HTTP/3. Esta implementación incluye la capacidad de enviar varios flujos a través de un único canal de comunicación, entre otras características. Se menciona que los elementos necesarios para utilizar QUIC en servidores estarán disponibles en la versión OpenSSL 3.3, que tiene previsto su lanzamiento a más tardar el 30 de abril de 2024.
Otra de las novedades que se destaca, es que TLS ahora cuenta con soporte para una extensión destinada a la compresión de certificados durante la fase de negociación de la conexión (RFC 8879). Esta mejora posibilita una configuración de conexión más rápida, ya que la transferencia de datos del certificado constituye la mayor parte del tráfico durante esta fase de negociación de la conexión. La compresión es compatible con las bibliotecas zlib, zstd y Brotli.
Ademas de ello, también se destaca el soporte añadido para ECDSA en la que, en lugar de una secuencia aleatoria al generar una firma, se utiliza el hash HMAC-SHA256 de la clave privada y el texto del mensaje firmado, que permite recibir siempre la misma firma en diferentes operaciones de firma, pero no permite la filtración de datos que pueden usarse para adivinar la clave privada.
En Windows, se implementa la posibilidad de utilizar el almacén de certificados root del sistema (deshabilitado de forma predeterminada) Para acceder a los certificados en el almacén de Windows, se propone el URI «org.openssl.winstore://».
Por otra parte, se destaca la optimización para el algoritmo SM2 en aarch64, el cual utiliza una tabla precalculada extensa para la multiplicación de puntos del punto base, que aumenta el tamaño de
libcrypto de 4.4 MB a 4.9 MB.
De los demás cambios que se destacan de esta nueva versión:
- Soporte para Ed25519ctx, Ed25519ph y Ed448ph (RFC 8032) además del soporte existente para Ed25519 y Ed448
- Se ha añadido una nueva opción de configuración, no-sm2-precomp, para deshabilitar la tabla precalculada.
- AES-GCM-SIV (RFC 8452)
- Se implementó la función de generación de claves Argon2 (RFC 9106) y la funcionalidad del grupo de subprocesos compatibles
- Se agregó soporte para cifrado híbrido basado en el mecanismo HPKE (RFC 9180 ), que combina la simplicidad de la transferencia de claves en el cifrado de clave pública con el alto rendimiento del cifrado simétrico.
- La capacidad de utilizar claves públicas sin formato en TLS (RFC 7250)
- Compatibilidad con TCP Fast Open (RFC 7413), cuando lo admita el sistema operativo
- Compatibilidad con esquemas de firma conectables basados en proveedores en TLS, lo que permite a terceros proveedores de algoritmos poscuánticos y de otro tipo utilizar esos algoritmos con TLS.
- Soporte para curvas Brainpool en TLS 1.3
- SM4-XTS
Finalmente, cabe mencionar que el lanzamiento de esta nueva versión de OpenSSL 3.2.0 será compatible hasta el 23 de noviembre de 2025, mientras que el soporte para las ramas anteriores de OpenSSL 3.1 y 3.0 LTS continuará hasta marzo de 2025 y septiembre de 2026, respectivamente.
Si estás interesado en poder conocer más al respecto sobre este nuevo lanzamiento, puedes consultar los detalles en el siguiente enlace.