新版本的 OpenSSL 3.2.0 刚刚宣布推出,经过八个月的开发后不久就发布了,它集成了兼容性改进,以及对基于 HPKE 的混合加密的支持等。
对于那些不知道 OpenSSL 的人,他们应该知道 这是一个基于 SSLeay 的免费软件项目,它由一个强大的加密相关库和管理工具包组成,为 OpenSSH 和 Web 浏览器(用于安全访问 HTTPS 站点)等其他包提供加密功能。
这些工具帮助系统实现安全套接字层 (SSL) 以及其他与安全相关的协议,例如传输层安全 (TLS)。 OpenSSL 还允许您创建可应用于服务器(例如 Apache)的数字证书。
OpenSSL 3.2.0主要新特性
在这个新版本的 OpenSSL 3.2.0 中,强调了 添加了对 QUIC 协议客户端的支持 (RFC 9000),即它用作 HTTP/3 协议中的传输。 除其他功能外,该实现还包括通过单个通信通道发送多个流的能力。 据称,在服务器上使用 QUIC 所需的元素将在 OpenSSL 3.3 版本中提供,该版本计划不迟于 30 年 2024 月 XNUMX 日发布。
另一个引人注目的新奇之处是e TLS 现在支持证书压缩扩展 在连接协商阶段(RFC 8879)。 此增强功能可实现更快的连接设置,因为证书数据传输构成此连接协商阶段的大部分流量。 zlib、zstd 和 Brotli 库支持压缩。
除此之外,它还凸显了 添加了对 ECDSA 的支持 其中, 生成签名时使用 HMAC-SHA256 哈希而不是随机序列 私钥和签名消息的文本,这允许您在不同的签名操作中始终收到相同的签名,但不允许泄露可用于猜测私钥的数据。
在 Windows 中,实现了使用根证书存储的可能性 system(默认禁用) 要访问 Windows 存储中的证书,建议使用 URI“org.openssl.winstore://”。
另一方面也凸显了 aarch2中SM64算法的优化,它使用广泛的预计算表进行基点点乘,这增加了
libcrypto 从 4.4 MB 到 4.9 MB。
其他变化 从这个新版本中脱颖而出:
- 除了对 Ed25519 和 Ed25519 的现有支持之外,还支持 Ed448ctx、Ed8032ph 和 Ed25519ph (RFC 448)
- 添加了新的配置选项 no-sm2-precomp,以禁用预计算表。
- AES-GCM-SIV (RFC 8452)
- 实现了 Argon2 (RFC 9106) 密钥生成功能和支持的线程池功能
- 增加了对基于 HPKE 机制(RFC 9180)的混合加密的支持,该机制结合了公钥加密中密钥传输的简单性和对称加密的高性能。
- 在 TLS 中使用原始公钥的能力 (RFC 7250)
- 当操作系统支持时,支持 TCP Fast Open (RFC 7413)
- 支持 TLS 中基于提供商的可插入签名方案,允许后量子和其他算法的第三方提供商将这些算法与 TLS 结合使用。
- 支持 TLS 1.3 中的 Brainpool 曲线
- SM4-XTS
最后值得一提的是,新版本 OpenSSL 3.2.0 的发布将支持到 23 年 2025 月 3.1 日,而对 OpenSSL 3.0 和 2025 LTS 之前分支的支持将分别持续到 2026 年 XNUMX 月和 XNUMX 年 XNUMX 月。
如果你有兴趣了解更多 关于这个新版本,你可以查看详细信息l下一个链接。