OpenSSL Project выпустил новую основную версию OpenSSL — самой популярной криптографической библиотеки с открытым кодом для поддержки зашифрованного обмена информацией по протоколам Transport Layer Security (TLS) и Secure Sockets Layer (SSL).
Как отмечает портале ZDNet, выпущенная 11 сентября версия OpenSSL 1.1.1 считается принципиальным обновлением. Она включает много новых функций. Предусмотрена также ее расширенная поддержка. Данная версия является веткой Long-Term Support, для которой в ближайшие годы будут выпускать исправления и обновления.
Важнейшим дополнением стала официальная поддержка нового протокола TLS 1.3. Он был выпущен в марте, а в августе получил от IETF идентификатор RFC 8446. TLS 1.3 улучшает криптографию и повышает скорость протокола TLS. Команда OpenSSL заявляет, что эти свойства «отражены в новой версии OpenSSL».
Для приложений, использующих OpenSSL, это означает сокращение времени установления соединений по протоколу HTTPS благодаря сокращению обмена информацией между клиентом и сервером, а также повышение скорости в тех случаях, когда клиенты сразу начинают отправку зашифрованных данных на сервер без предварительного обмена информацией с ним (функция
Далее, поддержка нового TLS 1.3 означает также, что теперь OpenSSL не будет поддерживать некоторые старые или небезопасные криптографические алгоритмы.
Но появились и дополнения. OpenSSL 1.1.1 поддерживает теперь 11 новых криптографических алгоритмов: SHA3, SHA512/224, SHA512/256, EdDSA (включая Ed25519 и Ed448), X448, Multi-Prime RSA, SM2, SM3, SM4, SipHash и ARIA.
Кроме того, полностью переписан генератор случайных чисел OpenSSL. Это важнейший компонент библиотеки. Все криптографические алгоритмы используют случайные числа. Теперь применяется больше методов генерации случайных чисел. Команда OpenSSL надеется, что это значительно усилит безопасность.
Последнее по порядку, но не по значению. Новый OpenSSL предотвращает атаки по боковому каналу (side-channel attacks), которые являются одним из главных способов, применяемых исследователями безопасности для извлечения данных из обмена информацией, зашифрованного с помощью OpenSSL.
Исправления для предыдущей ветки OpenSSL, версии 1.0.2, будут выпускаться до конца 2018 г., усовершенствования — до конца 2019 г. Для версии OpenSSL 1.1.0, которой оказывалась краткосрочная поддержка, усовершенствования будут выходить до 11 сентября 2019 г., в течение года после выхода версии OpenSSL 1.1.1.