OpenSSL3.5.0发布,支持PQC算法和服务器端QUIC
近日,OpenSSL项目已发布其广泛使用的开源加密库版本3.5.0,引入了新特性和显著变化,标志着其向未来加密技术的演进。这次功能发布包括对后量子密码学(PQC)、服务器端QUIC以及更严格的TLS行为控制的支持。
默认行为重构
OpenSSL 3.5.0对默认设置进行了若干可能不兼容的更改。值得注意的是,req、cms和smime命令行工具的默认加密算法已从逐渐过时的des-ede3-cbc更改为更强的aes-256-cbc,以符合现代安全标准。
在TLS中,默认支持的加密组列表已调整,优先支持混合后量子密钥封装机制(KEM)。同时,较少使用的旧版加密组被移除,以简化默认配置。在密钥交换方面,库现在默认提供X25519MLKEM768和X25519作为TLS密钥共享,为量子抗性密钥协商奠定基础。
此外,所有BIO_meth_get_*()函数已被废弃,标志着BIO(基本输入/输出)API的内部清理和现代化。
特性亮点
OpenSSL 3.5.0在未来加密技术方面迈出了重要一步,全面支持服务器端QUIC(RFC 9000),这是一种旨在取代TCP的下一代传输协议,可提供更快、更安全的互联网通信。
该版本还引入了对第三方QUIC堆栈和0-RTT(零往返时间)功能的支持,显著提升实时应用的性能。
后量子密码学是本次发布的另一个重点。OpenSSL 3.5.0添加了对如ML-KEM、ML-DSA和SLH-DSA等后量子密码学算法的支持,这些算法是NIST后量子标准化过程中新发布的标准。
其他新特性包括:
•一个名为no-tls-deprecated-ec的配置选项,用于禁用RFC 8422中已弃用的椭圆曲线加密组。
•一个enable-fips-jitter选项,允许FIPS提供者使用JITTER熵源以提高随机性。
•支持在证书管理协议(CMP)中进行中央密钥生成。
•引入了EVP_SKEY,一种新的不透明对称密钥对象,以提高抽象性和安全性。
•扩展了对加密算法中管道化的API支持,以优化加密性能。
其他信息
据介绍,OpenSSL 3.5.0将成为下一个长期稳定(LTS)版本。根据OpenSSL的LTS政策,3.5将持续支持至2030年4月8日。
之前的LTS(OpenSSL 3.0)将继续获得全面支持,直到2025年9月7日,并在2026年9月7日之前收到安全修复。强烈建议当前依赖3.0的项目在OpenSSL 3.5发布后切换到该版本。
此外,OpenSSL公司和基金会已同意每两年指定一个LTS版本。这意味着2027年4月将发布一个LTS版本,2029年将发布另一个版本,依此类推。与往常一样,每个LTS版本将获得5年的支持,最后一年仅提供安全补丁支持。
更多信息,可参阅OpenSSL库路线图:
来源|OpenSSL
图源|OpenSSL
编辑|公钥密码开放社区
免责声明
1、本文部分内容来源于网络,不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下,本文信息仅作参考。
2、文章重在分享,如有原创声明和侵权,请及时联系本站,我们将在24小时之内对稿件作删除处理。