Openssl je rozhranie API, ktoré poskytuje vhodné prostredie na šifrovanie odosielaných údajov
Práve bolo oznámené spustenie novej verzie OpenSSL 3.2.0, ktorá prichádza takmer krátko po ôsmich mesiacoch vývoja a prichádza s integráciou vylepšení kompatibility, ako aj s podporou hybridného šifrovania na báze HPKE, okrem iného.
Pre tých, ktorí nepoznajú OpenSSL, by to mali vedieť toto je projekt slobodného softvéru založený na SSLeay, ktorý pozostáva z robustného balíka knižníc súvisiacich s kryptografiou a nástrojov na správu, ktoré poskytujú kryptografické funkcie iným balíkom, ako sú OpenSSH a webové prehliadače (pre bezpečný prístup na stránky HTTPS).
Tieto nástroje pomáhajú systému implementovať Secure Sockets Layer (SSL), ako aj ďalšie protokoly súvisiace s bezpečnosťou, ako napríklad Transport Layer Security (TLS). OpenSSL vám tiež umožňuje vytvárať digitálne certifikáty, ktoré možno použiť na server, napríklad Apache.
Hlavné nové funkcie OpenSSL 3.2.0
V tejto novej verzii OpenSSL 3.2.0 je zdôraznené, že Pridaná podpora pre klienta protokolu QUIC (RFC 9000), čo jePoužíva sa ako transport v protokole HTTP/3. Táto implementácia zahŕňa okrem iných funkcií aj schopnosť posielať viacero tokov cez jeden komunikačný kanál. Spomína sa, že prvky potrebné na používanie QUIC na serveroch budú dostupné vo verzii OpenSSL 3.3, ktorej vydanie je naplánované najneskôr 30. apríla 2024.
Ďalšou novinkou, ktorá vyniká, je toe TLS teraz podporuje rozšírenie pre kompresiu certifikátov počas fázy vyjednávania o pripojení (RFC 8879). Toto vylepšenie umožňuje rýchlejšie nastavenie pripojenia, pretože prenos údajov certifikátu predstavuje väčšinu prevádzky počas tejto fázy vyjednávania o pripojení. Kompresiu podporujú knižnice zlib, zstd a Brotli.
Okrem toho tiež zdôrazňuje pridaná podpora pre ECDSA v ktorom, namiesto náhodnej sekvencie pri generovaní podpisu sa používa hash HMAC-SHA256 súkromného kľúča a textu podpísanej správy, čo umožňuje získať vždy rovnaký podpis pri rôznych operáciách podpisovania, ale neumožňuje únik údajov, pomocou ktorých je možné uhádnuť súkromný kľúč.
Vo Windows je implementovaná možnosť využitia koreňového skladu certifikátov system (predvolene vypnuté) Na prístup k certifikátom v obchode Windows sa navrhuje URI „org.openssl.winstore://“.
Na druhej strane zvýrazňuje optimalizácia pre algoritmus SM2 v aarch64, ktorá využíva rozsiahlu predpočítanú tabuľku na násobenie základného bodu, čo zväčšuje veľkosť
libcrypto od 4.4 MB do 4.9 MB.
Z ďalších zmien ktoré vyčnievajú z tejto novej verzie:
- Podpora pre Ed25519ctx, Ed25519ph a Ed448ph (RFC 8032) ako doplnok k existujúcej podpore pre Ed25519 a Ed448
- Pridaná nová konfiguračná voľba, no-sm2-precomp, na zakázanie predpočítanej tabuľky.
- AES-GCM-SIV (RFC 8452)
- Implementovaná funkcia generovania kľúčov Argon2 (RFC 9106) a podporovaná funkcia fondu vlákien
- Pridaná podpora hybridného šifrovania založeného na mechanizme HPKE (RFC 9180), ktorý kombinuje jednoduchosť prenosu kľúča pri šifrovaní verejným kľúčom s vysokým výkonom symetrického šifrovania.
- Schopnosť používať nespracované verejné kľúče v TLS (RFC 7250)
- Podpora pre TCP Fast Open (RFC 7413), ak je podporovaná operačným systémom
- Podpora zásuvných podpisových schém založených na poskytovateľoch v TLS, čo umožňuje poskytovateľom postkvantových a iných algoritmov tretích strán používať tieto algoritmy s TLS.
- Podpora kriviek Brainpool v TLS 1.3
- SM4-XTS
Nakoniec stojí za zmienku, že vydanie tejto novej verzie OpenSSL 3.2.0 bude podporované do 23. novembra 2025, zatiaľ čo podpora predchádzajúcich vetiev OpenSSL 3.1 a 3.0 LTS bude pokračovať do marca 2025, respektíve septembra 2026.
Ak máte záujem dozvedieť sa o tom viac o tomto novom vydaní si môžete pozrieť podrobnosti na stránkenasledujúci odkaz.