
Az Openssl egy api, amely megfelelő környezetet biztosít az elküldött adatok titkosításához
A napokban jelentették be az OpenSSL 3.2.0 új verziójának piacra dobását, amely nem sokkal nyolc hónapos fejlesztés után érkezik, és egyebek mellett kompatibilitási fejlesztéseket, valamint a HPKE-n alapuló hibrid titkosítás támogatását tartalmazza.
Azoknak, akik nem ismerik az OpenSSL-t, tudniuk kell ezt ez egy SSLeay alapú ingyenes szoftverprojekt, amely kriptográfiával kapcsolatos könyvtárak és adminisztrációs eszközök robusztus csomagjából áll, amelyek kriptográfiai funkciókat biztosítanak más csomagoknak, például az OpenSSH-nak és a webböngészőknek (a HTTPS-oldalak biztonságos eléréséhez).
Ezek az eszközök segítenek a rendszernek a Secure Sockets Layer (SSL) és más biztonsággal kapcsolatos protokollok, például a Transport Layer Security (TLS) megvalósításában. Az OpenSSL lehetővé teszi digitális tanúsítványok létrehozását is, amelyeket egy szerverre, például az Apache-ra lehet alkalmazni.
Az OpenSSL 3.2.0 fő újdonságai
Az OpenSSL 3.2.0 új verziójában kiemelték, hogy Támogatás hozzáadva a QUIC protokoll klienshez (RFC 9000), amiA HTTP/3 protokollban átvitelként használják. Ez a megvalósítás többek között lehetővé teszi több adatfolyam küldését egyetlen kommunikációs csatornán keresztül. Megemlítjük, hogy a QUIC szervereken való használatához szükséges elemek az OpenSSL 3.3-as verziójában lesznek elérhetők, amely a tervek szerint legkésőbb 30. április 2024-án jelenik meg.
A másik kiemelkedő újdonság azAz e TLS mostantól támogatja a tanúsítványtömörítési kiterjesztést a csatlakozási egyeztetés szakaszában (RFC 8879). Ez a továbbfejlesztés lehetővé teszi a gyorsabb kapcsolatbeállítást, mivel a tanúsítvány adatátvitele teszi ki a forgalom nagy részét ebben a csatlakozási egyeztetési szakaszban. A tömörítést a zlib, zstd és Brotli könyvtárak támogatják.
Ezen kívül kiemeli még a hozzáadott az ECDSA támogatásához amiben, Az aláírás generálásakor véletlenszerű sorrend helyett a HMAC-SHA256 hash kerül felhasználásra a privát kulcs és az aláírt üzenet szövege, amely lehetővé teszi, hogy mindig ugyanazt az aláírást kapja a különböző aláírási műveletekben, de nem engedi ki a titkos kulcs kitalálására használható adatok kiszivárgását.
A Windows rendszerben a gyökértanúsítványtároló használatának lehetősége megvalósul rendszer (alapértelmezés szerint letiltva) A Windows áruházban található tanúsítványok eléréséhez az „org.openssl.winstore://” URI ajánlott.
Másrészt kiemeli a optimalizálás az SM2 algoritmushoz az aarch64-ben, amely kiterjedt előre kiszámított táblázatot használ az alappontpont-szorzáshoz, ami növeli a méretét
libcrypto 4.4 MB-ról 4.9 MB-ra.
A többi változás közül amelyek kiemelkednek ebből az új verzióból:
- Az Ed25519ctx, Ed25519ph és Ed448ph (RFC 8032) támogatása az Ed25519 és Ed448 meglévő támogatása mellett
- Új konfigurációs opció, a no-sm2-precomp hozzáadva az előre kiszámított tábla letiltásához.
- AES-GCM-SIV (RFC 8452)
- Megvalósított Argon2 (RFC 9106) kulcsgeneráló funkció és támogatott szálkészlet funkció
- Hozzáadott támogatás a HPKE mechanizmuson (RFC 9180) alapuló hibrid titkosításhoz, amely egyesíti a nyilvános kulcsú titkosítás során a kulcsátvitel egyszerűségét a szimmetrikus titkosítás nagy teljesítményével.
- Nyers nyilvános kulcsok használatának lehetősége TLS-ben (RFC 7250)
- A TCP Fast Open (RFC 7413) támogatása, ha az operációs rendszer támogatja
- Támogatás a szolgáltató alapú csatlakoztatható aláírási sémákhoz a TLS-ben, lehetővé téve a kvantum utáni és egyéb algoritmusok harmadik féltől származó szolgáltatói számára, hogy ezeket az algoritmusokat a TLS-szel együtt használják.
- Brainpool-görbék támogatása a TLS 1.3-ban
- SM4-XTS
Végül érdemes megemlíteni, hogy az OpenSSL 3.2.0 új verziójának megjelenése 23. november 2025-ig lesz támogatott, míg az OpenSSL 3.1 és 3.0 LTS korábbi ágai 2025 márciusáig, illetve 2026 szeptemberéig.
Ha érdekel, hogy többet tudjon meg róla az új kiadással kapcsolatban a részleteket al követem a linket.