互联网基础软件 OpenSSL 即将发布 3.6.0 版更新,目前首个 Alpha 版已经发布,该版本带来众多新功能、漏洞修复和安全增强,将为开发者和用户提供更强大的加密功能和更高的安全保障。
OpenSSL 3.6.0 版带来的关键更新:
FIPS 模式支持强化:在运用短签名算法 SLH-DSA 的场景中可以通过自检确保操作是安全并且符合 FIPS 标准的。
FIPS 模式支持强化:引入 FIPS 140-3 标准的 PCT 自检功能应用于离散对数密钥生成,FIPS 可以确保系统符合严格安全要求。
密钥对象的新特性:增加了 NIST 安全类别用于 PKEY 对象,这可以帮助用户根据不同的安全需求选择合适的加密算法。
密钥对象的新特性:支持 EVP_SKEY 非透明对称密钥对象,通过新增的函数如 EVP_KDF_CTX_set_SKEY () 等提高密钥派生和交换的灵活性和安全性。
RSA、EC 和 ECX 密钥导入:在 FIPS 提供者中加入了针对 RSA、EC 和 ECX 密钥导入的 PCT,确保在密钥转移过程中符合 FIPS 140-3 安全标准。
LMS 多元签名支持:新增 LMS SP 800-208 签名验证支持,包括 FIPS 和默认提供者都可以支持,LMS 是一种新兴的耐量子攻击签名方案。
构建和兼容性更新:
编译器要求:不在支持仅 ANSI-C 的工具链,现在需要支持 C-99 标准的编译器,这意味着开发环境需要更新以适应现代化编程特性。
平台调整:移出了对 VxWorks 平台的支持,这可能影响到专注于特定嵌入式应用的用户。
新工具和功能启用:
新增工具:引入了 openssl configutl 工具,可用于处理并转储 OpenSSL 配置文件,方便用户更好地管理加密设置。
ECDSA 功能更新:在 FIPS 提供这种,增加了对 FIPS 186-5 标准的确定性 ECDSA 签名生成的支持,提升数字签名的可靠性。
弃用功能:废弃了与 EVP_PKEY_ASN1_METHOD 相关的函数,开发者可能需要调整代码避免在未来版本中产生兼容性问题。
有兴趣的开发者可以点击这里下载 OpenSSL 3.6.0 Alpha 1 版进行体验,建议暂时不要用于生产环境:https://github.com/openssl/openssl/releases/tag/openssl-3.6.0-alpha1