Бесплатно Экспресс-аудит сайта:

28.11.2023

OpenSSL 3.2.0: уверенные шаги на пути к постквантовой безопасности

Команда разработчиков OpenSSL на днях объявила о выпуске новой версии популярного криптографического пакета, представляющего собой многофункциональный инструментарий для криптографии и безопасного взаимодействия в сети. Речь идёт об OpenSSL 3.2.0.

Ключевые изменения в новой версии OpenSSL:

  • Повышение стандартного уровня безопасности SSL/TLS с 1 до 2.
  • Изменение формата сертификатов X.509: теперь все приложения x509, ca, и req по умолчанию создают сертификаты версии X.509v3.
  • Представление имён субъектов или эмитентов в объектах X.509 по умолчанию в формате UTF-8.

Нововведения:

  • Поддержка клиентской стороны протокола QUIC, включая множественные потоки данных (RFC 9000).
  • Расширение поддержки алгоритмов Ed25519ctx, Ed25519ph и Ed448ph, дополняющих существующие Ed25519 и Ed448 (RFC 8032).
  • Введение детерминированных подписей ECDSA (RFC 6979).
  • Поддержка AES-GCM-SIV, устойчивого к неправильному использованию nonce AEAD (RFC 8452).
  • Внедрение Argon2 KDF с поддержкой пула потоков (RFC 9106).
  • Включение гибридного шифрования открытых ключей (HPKE) (RFC 9180).
  • Поддержка SM4-XTS.
  • Поддержка кривых Brainpool в TLS 1.3.
  • Реализация TLS Raw Public Keys (RFC 7250).
  • Поддержка TCP Fast Open на Linux, macOS и FreeBSD (RFC 7413).
  • Возможность сжатия TLS сертификатов, включая поддержку zlib, Brotli и zstd (RFC 8879).
  • Возможность использования провайдерских плагинов для алгоритмов подписи в TLS 1.3, поддерживающих CMS и X.509, позволяющая использовать постквантовую криптографию.
  • Использование хранилища системных сертификатов Windows в качестве источника доверенных корневых сертификатов.
  • Применение стандартных имен IANA в конфигурации TLS шифров.
  • Множество новых функций и улучшений в поддержке протокола CMP.

OpenSSL 3.2.0 можно загрузить с официального сайта или на GitHub . Следующее крупное обновление, OpenSSL 3.3, ожидается не позднее 30 апреля 2024 года и будет включать поддержку сервера QUIC.