OpenSSL 3.5: 新しい量子暗号アルゴリズムとTLSおよびQUICの改善

  • ML-KEM、ML-DSA、SLH-DSA などの量子耐性暗号化アルゴリズムの組み込み。
  • 外部スタックと 0-RTT を含むサーバー側 QUIC を完全にサポートします。
  • デフォルトの暗号化を des-ede256-cbc から aes-3-cbc に変更するなど、デフォルト設定に重要な変更が加えられました。
  • EVP_SKEY、集中型 CMP、高度な構成オプションなどの新しい API オプションと改善。
Pablinux

4分

SSL3.5を開きます

プロジェクト OpenSSLの リリースしました バージョン3.5.0アプリケーションやウェブサイトでの安全なデータ転送を確保するために広く使用されている、人気の高いオープンソースの暗号化ライブラリのメジャーアップデートです。このリリースは、サイバーセキュリティの前進を示すだけでなく、量子コンピューティングがもたらす課題に対処するための戦略的な動きでもあります。

8年2025月3.5.0日リリース、OpenSSL XNUMX 量子暗号のサポートなど、重要な革新をもたらすサーバー側 QUIC プロトコルの実装と TLS 構成の重要な調整が行われており、このバージョンは近年で最も重要なバージョンの 1 つとなっています。

OpenSSL 3.5 では、量子耐性暗号 (PQC) の進歩が導入されています。

SSL3.5.0を開きます 将来の量子コンピュータからの攻撃に抵抗するように設計された暗号化アルゴリズムのサポートを初めて導入しました。NIST (米国国立標準技術研究所) が提案する標準に準拠しています。 3 つの基本アルゴリズムが組み込まれています。

  • ML-KEM (旧称 CRYSTALS-Kyber) 鍵交換用。
  • ML-DSA (旧称 CRYSTALS-Dilithium)、強力なデジタル署名アルゴリズム。
  • SLH-DSASPHINCS+ をベースとした、他のデジタル署名に代わる安全でステートレスな代替手段を提供します。

これらの方法は203年にFIPS標準(204、205、2024)として承認されました。 これは、2016年に開始された広範な評価プロセスを経て、ドイツの研究者を含む複数の国際的な専門家が参加したことによります。サイバーセキュリティ基準の詳細については、 ウルフスベーンが現代のサイバーセキュリティに与える影響.

サーバーサイドQUICの完全サポート

もう一つの注目すべき新製品は RFC 9000に準拠した、サーバーとしてのQUIC(クイックUDPインターネット接続)のサポートの統合。 TCP よりも高速で安全な接続を約束するこの次世代プロトコルは、現在 OpenSSL で完全に利用可能です。その上:

  • QUIC外部バッテリーのサポートがサポートされています、実装の可能性が広がります。
  • 0-RTT接続のサポートが追加されましたこれにより、複数の初期交換を必要とせずに通信を確立できるため、プロセスが大幅に高速化されます。

デフォルトおよびセキュリティパラメータの変更

バージョン3.5.0も ライブラリのデフォルトの動作に影響を与える要素を再定義します開発者による調整が必要になる場合があります。

  • アプリケーションのデフォルトの暗号化 req, cms y smime 今です aes-256-cbcすでに時代遅れとなった des-ede3-cbc.
  • TLSでサポートされるグループのリストを調整し、耐量子ハイブリッドKEMを優先するようにしました。ほとんど役に立たないグループやまったく役に立たないグループを削除します。
  • TLSのキー共有プールが変更されました; X25519MLKEM768 がデフォルトで X25519 と並んで提供されるようになり、キー交換が強化されました。
  • すべての関数は非推奨になりました BIO_meth_get_*()これは、BIO API の近代化に向けた一歩です。

OpenSSL 3.5 の設定オプションと新機能

OpenSSL 3.5 には、ライブラリの動作をより細かく制御できる新しいオプションが含まれています。特に規制された環境や安全性が重要となる場合:

  • no-tls-deprecated-ec: RFC 8422 で定義された古い楕円曲線のサポートを無効にします。
  • enable-fips-jitter: FIPS プロバイダーが JITTER エントロピー ソースを使用できるようにし、キー生成のランダム性を向上させます。
  • の導入 EVP_SKEY: 不透明な対称キーの処理を可能にし、キーへの直接アクセスを抽象化することでセキュリティを強化します。
  • CMPでの集中型キー生成のサポート証明書の管理を容易にします。
  • 暗号化アルゴリズムのパイプライン化のためのAPIサポートの実装暗号化操作を最適化します。

既知の問題と次のステップ

現在、この機能に関連するバグが確認されています。 SSL_accept 返されたオブジェクトに使用する場合 SSL_accept_connection。期待どおりにハンドシェイクを進める代わりに、効果がありません。開発者は以下を使用することを推奨しています SSL_do_handshake バージョン 3.5.1 で予定されている修正に取り組んでいる間の一時的な解決策として。

OpenSSL 3.5は、 LTS(長期サポート)バージョン2030 年 3.6 月までのサポートが保証されます。次のバージョン (2025) は、XNUMX 年 XNUMX 月に予定されています。

OpenSSL のこの進化は、将来に向けて安全なインフラストラクチャを確保するためのコミュニティの継続的な取り組みを強調しています。。 組み込むには 量子コンピューティング耐性アルゴリズム、 向上 現代のプロトコル QUICや デフォルト設定を最新化する これらは、ますます変化するデジタル世界における適応性とセキュリティへの取り組みを明確に示すものです。

関連記事
Googleはオープンソースのセキュリティを改善するために1万ドルを寄付し、XNUMXつの主要プロジェクトのセキュリティ監査にも資金を提供します

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。