Выпуск криптографической библиотеки OpenSSL 3.3.0

09.04.2024 16:32

После пяти месяцев разработки сформирован релиз библиотеки OpenSSL 3.3.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Поддержка OpenSSL 3.3 будет осуществляться до апреля 2026 года. Поддержка прошлых веток OpenSSL 3.2, 3.1 и 3.0 LTS продлится до ноября 2025 года, марта 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0.

Основные новшества OpenSSL 3.3.0:

Продолжена интеграция поддержки протокола QUIC (RFC 9000), представляющего собой надстройку над протоколом UDP, используемую в качестве транспорта в протоколе HTTP/3. В новом выпуске:
- Добавлена поддержка трассировки QUIC-соединений через ведение диагностического лога в формате qlog.
- Добавлена поддержка полинга в неблокирующем режиме соединений QUIC и потоковых объектов.
- Реализована возможность оптимизированной генерации кадров окончания потока для QUIC-соединений.
- Предоставлена возможность отключения обработки событий QUIC при выполнении обращений к API.
- Добавлена поддержка настройки таймаута неактивности для QUIC.
- Добавлен API для запроса размера и степени заполнения буфера записи для потоков QUIC.
Реализованы расширения протокола управления сертификатами CMP (Certificate Management Protocol), определённые в спецификациях RFC 9480 (определение протокола CMPv3) и RFC 9483 (легковесный профиль для маломощных устройств).
Добавлена возможность отключения на этапе сборки использования функции atexit.
Добавлен вариант API SSL_SESSION, не подверженный проблеме 2038 года: добавлены функции SSL_SESSION_get_time_ex() и SSL_SESSION_set_time_ex(), использующие 64-разрядный тип time_t на 32-разрядных системах.
В функции EVP_PKEY_fromdata реализована возможность автоматического получения параметров китайской теоремы об остатках (CRT, Chinese Remainder Theorem).
Добавлена возможность игнорирования неизвестных названий алгоритмов подписей, заданных в параметрах конфигурации TLS SignatureAlgorithms и ClientSignatureAlgorithms.
Добавлена возможность настройки приоритетного использования PSK-ключей на сервере TLS 1.3 во время восстановления сеанса.
Добавлена функция EVP_DigestSqueeze(), позволяющая сократить размер хэша SHAKE (удаление старших битов), используя несколько итераций с разными размерами вывода.
Добавлена поддержка экспорта сборочных файлов для CMake на Unix-подобных системах и Windows (в дополнение к экспорту на базе pkg-config).
Внесены оптимизации производительности: Оптимизирована работа алгоритма AES-GCM на устройствах с чипами Microsoft Azure Cobalt 100. В реализации AES-CTR появилась поддержка ускорения с использованием расширений ARM Neoverse V1 и V2. Включены оптимизации AES и SHA3 для систем Apple с чипами M3. В различных криптографических функциях задействованы векторные расширения RISC-V. Добавлена ассемблерная реализация md5 для CPU Loongarch64.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60962-openssl

Ключевые слова: openssl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (21)

1.1, Я (??), 17:54, 09/04/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Гост енджин выпилен окончательно?

2.2, Ты (?), 18:02, 09/04/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Ещё в 1.1.0, как обычно тем, кто мог сопровождать тот код был совершенно не нужен, а те, кому он нужен не могут его сопровождать. Да и невелика потеря.

3.4, cheburnator9000 (ok), 19:01, 09/04/2024 [^] [^^] [^^^] [ответить]	–4 +/–
Это что получается как теперь российские чиновники будут пользоваться сайтами госслужб по шифрованным от западного шпиона каналам?

4.5, Аноним (5), 19:05, 09/04/2024 [^] [^^] [^^^] [ответить]	+8 +/–
Криптографы, работающие в астралинукс и специалисты с опеннета будут сопровождать и бекпортирлвать последнюю версию, где был гост

4.10, Аноним (10), 19:57, 09/04/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Разве проприетарный криптопро не решает эту проблему?

4.13, Аноним (13), 21:27, 09/04/2024 [^] [^^] [^^^] [ответить]	–9 +/–
У западной криптографии понадёжнее репутация будет. В AES, SHA2, salsa, chacha, blake и Keccak скрытой структуры не находили (но от Keccak всё гавно надо держаться подальше). Постквантувую заведомо уязвимую мигом взломали, ещё раз продемонстрировав. что NIST — голый, у товарищей из Католического университета мышь не проскочит!

5.15, Аноним (15), 21:52, 09/04/2024 [^] [^^] [^^^] [ответить]

+4 +/–

> скрытой структуры не находили

Да громко сказано, "скрытой структуры". Выяснили же уже, что ту структуру просто сгенерировали из имён разработчиков шифра, а не из RNG.

> от Keccak всё гавно надо держаться подальше

Почему, потому что медленный?

5.24, Аноним (24), 20:47, 17/04/2024 [^] [^^] [^^^] [ответить]

+/–

> ... скрытой структуры не находили (но от Keccak всё гавно надо держаться ...

Самое главное - модульность.

А уж с остальным научились уживаться и в течении прошлого столетия. И Герцен про позапрошлое столетие тоже писал - научились и тогда тоже как-то быть. По работе модуль сделал, люди подключили модуль, и ушёл заниматься огородом для себя...

P.S. Опечатка, кстати, в важнейшем термине.

3.20, Аноним (20), 22:34, 09/04/2024 [^] [^^] [^^^] [ответить]

+3 +/–

> Ещё в 1.1.0, как обычно тем, кто мог сопровождать тот код был совершенно не нужен, а те, кому он нужен не могут его сопровождать. Да и невелика потеря.

Похоже, это относится вообще ко всему коду SSL/TLS-процедур.

https://github.com/openssl/openssl/issues/21005

В итоге, после 1.1.x мир так пока и не увидел пригодных для прода веток.

2.7, Аноним (7), 19:29, 09/04/2024 [^] [^^] [^^^] [ответить]	+2 +/–
С ходу в поиске нашёл https://github.com/gost-engine/engine Т.е. оно как бы и работает, пусть и модулем?

3.16, а што не так (?), 22:13, 09/04/2024 [^] [^^] [^^^] [ответить]	+/–
Собирал это уродство в deb долгое время, слава богу больше не работаю там где такое нужно.

3.25, Аноним (24), 20:49, 17/04/2024 [^] [^^] [^^^] [ответить]	+/–
Но константы и некоторые мелочи...

1.8, Аноним (8), 19:29, 09/04/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Скажите, тут есть и quic сервер и quic клиент?

2.9, Аноним (9), 19:50, 09/04/2024 [^] [^^] [^^^] [ответить]	+/–
Пока только клиент. Сервер обещали в ветку 3.3, но в списке изменений его нет, видимо отложили до 3.4.

1.12, Аноним (12), 20:58, 09/04/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>Поддержка OpenSSL 3.3 будет осуществляться до апреля 2026 года Потом опять API несовместимо поменяют?

2.14, Аноним (13), 21:28, 09/04/2024 [^] [^^] [^^^] [ответить]	+/–
Да, надо же тебе навязать новый ведроид-телефон,ьа старый сделать тыквой.

2.21, Аноним (20), 22:35, 09/04/2024 [^] [^^] [^^^] [ответить]	+/–
> Потом опять API несовместимо поменяют? Стабильное API перестало быть нонсенсом?

3.26, Аноним (24), 20:50, 17/04/2024 Скрыто ботом-модератором [к модератору]	+/–

1.17, Аноним (17), 22:22, 09/04/2024 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> Внесены оптимизации производительности: Оптимизирована работа алгоритма AES-GCM на устройствах с чипами Microsoft Azure Cobalt 100. В реализации AES-CTR появилась поддержка ускорения с использованием расширений ARM Neoverse V1 и V2. Включены оптимизации AES и SHA3 для систем Apple с чипами M3. В различных криптографических функциях задействованы векторные расширения RISC-V. Добавлена ассемблерная реализация md5 для CPU Loongarch64. а для Эльбруса ничего нового не завезли?

2.22, Аноним (22), 05:15, 10/04/2024 [^] [^^] [^^^] [ответить]	+/–
ну ты ж не сделал

3.23, похнапоха. (?), 10:22, 10/04/2024 [^] [^^] [^^^] [ответить]	+/–
кормчий пока не дал приказ завезти, сейчас это опасно самовольно заносить новые фичи в код, пилящийся преимущественно программистами из недружественных стран, к тому же раскрытие неких алгоритмов шифрования нативно реализованных в эльбрус, можно трактовать как госизмену.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: