OpenSSL3.5.0发布，支持PQC算法和服务器端QUIC

近日，OpenSSL项目已发布其广泛使用的开源加密库版本3.5.0，引入了新特性和显著变化，标志着其向未来加密技术的演进。这次功能发布包括对后量子密码学（PQC）、服务器端QUIC以及更严格的TLS行为控制的支持。

　默认行为重构

OpenSSL 3.5.0对默认设置进行了若干可能不兼容的更改。值得注意的是，req、cms和smime命令行工具的默认加密算法已从逐渐过时的des-ede3-cbc更改为更强的aes-256-cbc，以符合现代安全标准。

在TLS中，默认支持的加密组列表已调整，优先支持混合后量子密钥封装机制（KEM）。同时，较少使用的旧版加密组被移除，以简化默认配置。在密钥交换方面，库现在默认提供X25519MLKEM768和X25519作为TLS密钥共享，为量子抗性密钥协商奠定基础。

此外，所有BIO_meth_get_*()函数已被废弃，标志着BIO（基本输入/输出）API的内部清理和现代化。

　特性亮点

OpenSSL 3.5.0在未来加密技术方面迈出了重要一步，全面支持服务器端QUIC（RFC 9000），这是一种旨在取代TCP的下一代传输协议，可提供更快、更安全的互联网通信。

该版本还引入了对第三方QUIC堆栈和0-RTT（零往返时间）功能的支持，显著提升实时应用的性能。

后量子密码学是本次发布的另一个重点。OpenSSL 3.5.0添加了对如ML-KEM、ML-DSA和SLH-DSA等后量子密码学算法的支持，这些算法是NIST后量子标准化过程中新发布的标准。

其他新特性包括：

•一个名为no-tls-deprecated-ec的配置选项，用于禁用RFC 8422中已弃用的椭圆曲线加密组。

•一个enable-fips-jitter选项，允许FIPS提供者使用JITTER熵源以提高随机性。

•支持在证书管理协议（CMP）中进行中央密钥生成。

•引入了EVP_SKEY，一种新的不透明对称密钥对象，以提高抽象性和安全性。

•扩展了对加密算法中管道化的API支持，以优化加密性能。

　其他信息

据介绍，OpenSSL 3.5.0将成为下一个长期稳定（LTS）版本。根据OpenSSL的LTS政策，3.5将持续支持至2030年4月8日。

之前的LTS（OpenSSL 3.0）将继续获得全面支持，直到2025年9月7日，并在2026年9月7日之前收到安全修复。强烈建议当前依赖3.0的项目在OpenSSL 3.5发布后切换到该版本。

此外，OpenSSL公司和基金会已同意每两年指定一个LTS版本。这意味着2027年4月将发布一个LTS版本，2029年将发布另一个版本，依此类推。与往常一样，每个LTS版本将获得5年的支持，最后一年仅提供安全补丁支持。

更多信息，可参阅OpenSSL库路线图：

来源｜OpenSSL

图源｜OpenSSL

编辑｜公钥密码开放社区

免责声明

1、本文部分内容来源于网络，不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下，本文信息仅作参考。

2、文章重在分享，如有原创声明和侵权，请及时联系本站，我们将在24小时之内对稿件作删除处理。