На прошлой неделе вышла новая версия криптографической библиотеки OpenSSL — 1.1.1. Согласно анонсу, она содержит ряд важных усовершенствований; самым существенным из них является поддержка новейшего протокола защиты передачи данных TLS 1.3.

Использование TLS 1.3, спецификации которого Инженерный совет Интернета (IETF) опубликовал в прошлом месяце под идентификатором RFC 8446, означает отказ от устаревших и ненадежных алгоритмов шифрования. Кроме того, в сравнении прежними версиями этот протокол обеспечивает более быструю связь клиент — сервер и намного более устойчив к атакам, нацеленным на откат до слабых шифров.

Разработчики OpenSSL также полностью переписали ключевой компонент библиотеки — генератор случайных чисел. Введена поддержка расширения Maximum Fragment Length TLS (для согласования максимальной длины передаваемых фрагментов) и новых криптографических алгоритмов: SHA3, SHA512/224 и SHA512/256, EdDSA, X448, multi-prime RSA, SM2, SM3, SM4, SipHash, ARIA. Значительно усилена защита от атак по сторонним каналам, добавлен модуль STORE, позволяющий унифицировать доступ к хранилищам сертификатов и ключей за счет использования схемы URI.

«OpenSSL 1.1.1 — это плод больших коллективных усилий, — пишет разработчик Мэтт Касвелл (Matt Caswell), представляя новый выпуск. — Со времени выхода OpenSSL 1.1.0 мы насчитали свыше 5 тыс. коммитов, выполненных более чем 200 авторами. Однако вклад сообщества OpenSSL в разработку не ограничился фиксацией изменений программного кода. Заинтересованность в выпуске новой модификации была велика, и мы благодарны также тем многочисленным пользователям, которые вызвались протестировать бета-версию и выловить баги».

Поскольку OpenSSL 1.1.1 обратно совместима с 1.1.0 на уровне интерфейсов API и ABI, в большинство приложений можно добавить поддержку TLS 1.3, обновив криптобиблиотеку.

Стоит также отметить, что новая итерация OpenSSL выпущена в рамках программы долгосрочного обслуживания (LTS), то есть поддержка 1.1.1 гарантируется в течение минимум пяти лет. Предыдущий выпуск, 1.1.0, через год будет снят с поддержки; ветка 1.0.2 — прежний LTS-релиз — останется на полном обслуживании до конца текущего года, а потом еще год будет получать только патчи.

Категории: Главное, Кибероборона