The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск криптографической библиотеки OpenSSL 3.3.0

09.04.2024 16:32

После пяти месяцев разработки сформирован релиз библиотеки OpenSSL 3.3.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Поддержка OpenSSL 3.3 будет осуществляться до апреля 2026 года. Поддержка прошлых веток OpenSSL 3.2, 3.1 и 3.0 LTS продлится до ноября 2025 года, марта 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0.

Основные новшества OpenSSL 3.3.0:

  • Продолжена интеграция поддержки протокола QUIC (RFC 9000), представляющего собой надстройку над протоколом UDP, используемую в качестве транспорта в протоколе HTTP/3. В новом выпуске:
    • Добавлена поддержка трассировки QUIC-соединений через ведение диагностического лога в формате qlog.
    • Добавлена поддержка полинга в неблокирующем режиме соединений QUIC и потоковых объектов.
    • Реализована возможность оптимизированной генерации кадров окончания потока для QUIC-соединений.
    • Предоставлена возможность отключения обработки событий QUIC при выполнении обращений к API.
    • Добавлена поддержка настройки таймаута неактивности для QUIC.
    • Добавлен API для запроса размера и степени заполнения буфера записи для потоков QUIC.
  • Реализованы расширения протокола управления сертификатами CMP (Certificate Management Protocol), определённые в спецификациях RFC 9480 (определение протокола CMPv3) и RFC 9483 (легковесный профиль для маломощных устройств).
  • Добавлена возможность отключения на этапе сборки использования функции atexit.
  • Добавлен вариант API SSL_SESSION, не подверженный проблеме 2038 года: добавлены функции SSL_SESSION_get_time_ex() и SSL_SESSION_set_time_ex(), использующие 64-разрядный тип time_t на 32-разрядных системах.
  • В функции EVP_PKEY_fromdata реализована возможность автоматического получения параметров китайской теоремы об остатках (CRT, Chinese Remainder Theorem).
  • Добавлена возможность игнорирования неизвестных названий алгоритмов подписей, заданных в параметрах конфигурации TLS SignatureAlgorithms и ClientSignatureAlgorithms.
  • Добавлена возможность настройки приоритетного использования PSK-ключей на сервере TLS 1.3 во время восстановления сеанса.
  • Добавлена функция EVP_DigestSqueeze(), позволяющая сократить размер хэша SHAKE (удаление старших битов), используя несколько итераций с разными размерами вывода.
  • Добавлена поддержка экспорта сборочных файлов для CMake на Unix-подобных системах и Windows (в дополнение к экспорту на базе pkg-config).
  • Внесены оптимизации производительности: Оптимизирована работа алгоритма AES-GCM на устройствах с чипами Microsoft Azure Cobalt 100. В реализации AES-CTR появилась поддержка ускорения с использованием расширений ARM Neoverse V1 и V2. Включены оптимизации AES и SHA3 для систем Apple с чипами M3. В различных криптографических функциях задействованы векторные расширения RISC-V. Добавлена ассемблерная реализация md5 для CPU Loongarch64.


  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Выпуск OpenSSL 3.2.0 с клиентской поддержкой протокола QUIC
  3. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.1.0
  4. OpenNews: Уязвимость в OpenSSL и LibreSSL, приводящая к утечке содержимого памяти
  5. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.0.0
  6. OpenNews: Представлен OpenPubKey, протокол криптографической верификации объектов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60962-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Я (??), 17:54, 09/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гост енджин выпилен окончательно?
     
     
  • 2.2, Ты (?), 18:02, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ещё в 1.1.0, как обычно тем, кто мог сопровождать тот код был совершенно не нужен, а те, кому он нужен не могут его сопровождать. Да и невелика потеря.
     
     
  • 3.4, cheburnator9000 (ok), 19:01, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Это что получается как теперь российские чиновники будут пользоваться сайтами госслужб по шифрованным от западного шпиона каналам?
     
     
  • 4.5, Аноним (5), 19:05, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Криптографы, работающие в астралинукс и специалисты с опеннета будут сопровождать и бекпортирлвать последнюю версию, где был гост
     
  • 4.10, Аноним (10), 19:57, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разве проприетарный криптопро не решает эту проблему?
     
  • 4.13, Аноним (13), 21:27, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • –9 +/
    У западной криптографии понадёжнее репутация будет. В AES, SHA2, salsa, chacha, blake и Keccak скрытой структуры не находили (но от Keccak всё гавно надо держаться подальше). Постквантувую заведомо уязвимую мигом взломали, ещё раз продемонстрировав. что NIST — голый, у товарищей из Католического университета мышь не проскочит!
     
     
  • 5.15, Аноним (15), 21:52, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > скрытой структуры не находили

    Да громко сказано, "скрытой структуры". Выяснили же уже, что ту структуру просто сгенерировали из имён разработчиков шифра, а не из RNG.

    > от Keccak всё гавно надо держаться подальше

    Почему, потому что медленный?

     
  • 5.24, Аноним (24), 20:47, 17/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ... скрытой структуры не находили (но от Keccak всё гавно надо держаться ...

    Самое главное - модульность.

    А уж с остальным научились уживаться и в течении прошлого столетия. И Герцен про позапрошлое столетие тоже писал - научились и тогда тоже как-то быть. По работе модуль сделал, люди подключили модуль, и ушёл заниматься огородом для себя...

    P.S. Опечатка, кстати, в важнейшем термине.

     
  • 3.20, Аноним (20), 22:34, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  Ещё в 1.1.0, как обычно тем, кто мог сопровождать тот код был совершенно не нужен, а те, кому он нужен не могут его сопровождать. Да и невелика потеря.

    Похоже, это относится вообще ко всему коду SSL/TLS-процедур.

    https://github.com/openssl/openssl/issues/21005

    В итоге, после 1.1.x мир так пока и не увидел пригодных для прода веток.

     
  • 2.7, Аноним (7), 19:29, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С ходу в поиске нашёл https://github.com/gost-engine/engine
    Т.е. оно как бы и работает, пусть и модулем?
     
     
  • 3.16, а што не так (?), 22:13, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Собирал это уродство в deb долгое время, слава богу больше не работаю там где такое нужно.
     
  • 3.25, Аноним (24), 20:49, 17/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но константы и некоторые мелочи...
     

  • 1.8, Аноним (8), 19:29, 09/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скажите, тут есть и quic сервер и quic клиент?
     
     
  • 2.9, Аноним (9), 19:50, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пока только клиент. Сервер обещали в ветку 3.3, но в списке изменений его нет, видимо отложили до 3.4.
     

  • 1.12, Аноним (12), 20:58, 09/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Поддержка OpenSSL 3.3 будет осуществляться до апреля 2026 года

    Потом опять API несовместимо поменяют?

     
     
  • 2.14, Аноним (13), 21:28, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, надо же тебе навязать новый ведроид-телефон,ьа старый сделать тыквой.
     
  • 2.21, Аноним (20), 22:35, 09/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Потом опять API несовместимо поменяют?

    Стабильное API перестало быть нонсенсом?

     
     
  • 3.26, Аноним (24), 20:50, 17/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.17, Аноним (17), 22:22, 09/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Внесены оптимизации производительности: Оптимизирована работа алгоритма AES-GCM на устройствах с чипами Microsoft Azure Cobalt 100. В реализации AES-CTR появилась поддержка ускорения с использованием расширений ARM Neoverse V1 и V2. Включены оптимизации AES и SHA3 для систем Apple с чипами M3. В различных криптографических функциях задействованы векторные расширения RISC-V. Добавлена ассемблерная реализация md5 для CPU Loongarch64.

    а для Эльбруса ничего нового не завезли?

     
     
  • 2.22, Аноним (22), 05:15, 10/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну ты ж не сделал
     
     
  • 3.23, похнапоха. (?), 10:22, 10/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    кормчий пока не дал приказ завезти, сейчас это опасно самовольно заносить новые фичи в код, пилящийся преимущественно программистами из недружественных стран, к тому же раскрытие неких алгоритмов шифрования нативно реализованных в эльбрус, можно трактовать как госизмену.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру