Az OpenSSL 3.5.0 szoftverfrissítés jelentős kriptográfiai újításokat, újdonságokat hozott a korábbi verzióhoz képest, amelyekkel a szoftver a modern biztonsági kihívásokra válaszol. Több mint öt hónappal az OpenSSL 3.4 verzió megjelenése után a fejlesztőcsapat hivatalosan is bemutatta az OpenSSL 3.5 változatot, amely számos figyelemre méltó újdonságot tartalmaz.
A legfontosabb újítás, hogy az alapértelmezett titkosítási algoritmust (cipher) megváltoztatták a req, cms és smime alkalmazások esetében. A korábban használt des-ede3-cbc algoritmus helyét átvette a modern és jóval erősebb aes-256-cbc. Ez az átállás nem csupán a titkosítás biztonsági szintjét emeli, hanem összhangban van a nemzetközi ajánlásokkal is, amelyek egyre inkább a háromszoros DES (Triple DES) technológia kivezetését sürgetik.
Postkvantum-kriptográfia a mindennapokban
Az OpenSSL 3.5 egyik legérdekesebb újdonsága, hogy az alapértelmezett TLS (Transport Layer Security) által támogatott csoportlista mostantól már a hibrid postkvantum kriptográfiai (Post-Quantum Cryptography, PQC) kulcscsere-csoportokat is tartalmazza, és ezek élveznek prioritást. Ez a változás előremutató lépés a jövő biztonsága felé, hiszen a kvantumszámítógépek megjelenése radikálisan megváltoztathatja a titkosítás jelenlegi világát. A fejlesztők számára szintén fontos információ, hogy a TLS alapértelmezett kulcsrészleteinek listája mostantól tartalmazza az X25519MLKEM768 és az X25519 csoportokat is, amelyek korszerűbb és biztonságosabb kulcscsere-lehetőségeket biztosítanak.
Az OpenSSL 3.5 az örökségül maradt, elavult függvények közül is többtől búcsúzik: a BIO_meth_get_*() függvények használata hivatalosan is elavultnak (deprecated) lett nyilvánítva. Ez ugyan némi átírást kívánhat meg a régebbi szoftverek kódjában, de hosszú távon stabilabb és karbantarthatóbb kódot eredményez.
Az OpenSSL 3.5 kiemelkedő fejlesztése, hogy immár teljeskörű QUIC (Quick UDP Internet Connections, RFC 9000) protokoll támogatást biztosít szerveroldalon is. Ez a modern, alacsony késleltetésű kapcsolatfelépítést célzó protokoll különösen fontos a streaming és valós idejű alkalmazásoknál. A rendszer kompatibilis a harmadik féltől származó QUIC stackekkel is, és támogatja az 0-RTT (Zero Round Trip Time) kézfogást, amely jelentősen csökkenti a kapcsolatfelépítés idejét.
Az új verzióban tovább bővült a postkvantum-kriptográfiai algoritmusok listája is: a ML-KEM, ML-DSA és SLH-DSA algoritmusok támogatása már elérhető. Ezek az algoritmusok azokat az új típusú támadási modelleket hivatottak kivédeni, amelyekre a kvantumszámítógépek megjelenése miatt a jövőben számítani lehet. Az OpenSSL 3.5 ezen túl új konfigurációs lehetőségeket is kínál. Az egyik ilyen a no-tls-deprecated-ec, amely letiltja az RFC 8422 szabványban elavultnak minősített elliptikus görbe csoportokat. Egy másik újdonság az enable-fips-jitter kapcsoló, amely lehetővé teszi a JITTER alapú véletlenszám-generátor használatát a FIPS-minősítésű kriptográfiai modulok számára.
A nagyobb, szervezeti szintű rendszerek számára az OpenSSL 3.5 olyan megoldásokat is kínál, mint a központi kulcsgenerálás (central key generation) a CMP (Certificate Management Protocol) keretében, illetve az EVP_SKEY objektumok, amelyek lehetővé teszik az átlátszatlan, biztonságos szimmetrikus kulcskezelést. Emellett a fejlesztők számára jó hír, hogy mostantól az API támogatja a pipelining-et az egyes titkosítási algoritmusok esetében, ami jelentős teljesítménynövekedést eredményezhet, különösen nagy adatforgalmú alkalmazásoknál.
Figyelmeztetés: ismert hiba SSL kézfogás során
A kiadás során egy ismert problémát is dokumentáltak: amennyiben a fejlesztő az SSL_accept_connection által visszaadott objektumon hívja meg az SSL_accept függvényt, a kézfogás nem halad tovább, hanem hibával leáll. A fejlesztők számára ideiglenes megoldást jelent az SSL_do_handshake függvény használata, míg a végleges javítást a készítők az OpenSSL 3.5.1 verzióban ígérik. A teljes módosítási lista megtekinthető az OpenSSL hivatalos kiadási jegyzékében, amely részletesen bemutatja az OpenSSL 3.5 összes újítását és javítását.
A kiadás dokumentációs fejlesztéseket is magában foglal, beleértve több útmutatót az OpenSSL könyvtárral kapcsolatban, különös tekintettel a különböző kliensek írására (TLS és QUIC protokollok használatával) a libssl segítségével. A részletes változások listáját megtalálhatók a CHANGES.md fájlban. A QUIC funkcionalitás használatát tervező felhasználóknak ajánlott elolvasni a QUIC README fájlt, mely hivatkozásokat tartalmaz a releváns dokumentációkhoz és példaprogramokhoz.
