Openssl é uma API que fornece um ambiente adequado para criptografar os dados enviados
Acaba de ser anunciado o lançamento da nova versão do OpenSSL 3.2.0, que chega quase logo após oito meses de desenvolvimento e vem integrando melhorias de compatibilidade, bem como suporte para criptografia híbrida baseada em HPKE, entre outras coisas mais.
Para aqueles que não conhecem o OpenSSL, devem saber que este é um projeto de software livre baseado em SSLeay, que consiste em um pacote robusto de bibliotecas relacionadas à criptografia e ferramentas de administração, que fornecem funções criptográficas para outros pacotes, como OpenSSH e navegadores da Web (para acesso seguro a sites HTTPS).
Essas ferramentas ajudam o sistema a implementar o Secure Sockets Layer (SSL), bem como outros protocolos relacionados à segurança, como o Transport Layer Security (TLS). O OpenSSL também permite criar certificados digitais que podem ser aplicados a um servidor, por exemplo Apache.
Principais novidades do OpenSSL 3.2.0
Nesta nova versão do OpenSSL 3.2.0, destaca-se que Adicionado suporte para o cliente do protocolo QUIC (RFC 9000), que éÉ usado como transporte no protocolo HTTP/3. Esta implementação inclui a capacidade de enviar múltiplos fluxos através de um único canal de comunicação, entre outros recursos. Menciona-se que os elementos necessários para a utilização do QUIC nos servidores estarão disponíveis na versão OpenSSL 3.3, com lançamento previsto para até 30 de abril de 2024.
Outra novidade que se destaca é quee TLS agora tem suporte para extensão para compactação de certificados durante a fase de negociação da conexão (RFC 8879). Este aprimoramento permite uma configuração mais rápida da conexão, uma vez que a transferência de dados do certificado constitui a maior parte do tráfego durante esta fase de negociação da conexão. A compactação é suportada pelas bibliotecas zlib, zstd e Brotli.
Além disso, destaca também a suporte adicionado para ECDSA na que, em vez de uma sequência aleatória ao gerar uma assinatura, o hash HMAC-SHA256 é usado da chave privada e do texto da mensagem assinada, o que permite receber sempre a mesma assinatura em diferentes operações de assinatura, mas não permite a fuga de dados que possam ser utilizados para adivinhar a chave privada.
No Windows, a possibilidade de usar o armazenamento de certificados raiz é implementada sistema (desabilitado por padrão) Para acessar os certificados na loja do Windows, é proposto o URI “org.openssl.winstore://”.
Por outro lado, destaca a otimização para algoritmo SM2 em aarch64, que usa uma extensa tabela pré-computada para multiplicação de pontos base, o que aumenta o tamanho de
libcrypto de 4.4 MB para 4.9 MB.
Das outras mudanças que se destacam nesta nova versão:
- Suporte para Ed25519ctx, Ed25519ph e Ed448ph (RFC 8032), além do suporte existente para Ed25519 e Ed448
- Adicionada uma nova opção de configuração, no-sm2-precomp, para desabilitar a tabela pré-computada.
- AES-GCM-SIV (RFC 8452)
- Implementado recurso de geração de chave Argon2 (RFC 9106) e funcionalidade de pool de threads suportada
- Adicionado suporte para criptografia híbrida baseada no mecanismo HPKE (RFC 9180), que combina a simplicidade da transferência de chaves na criptografia de chave pública com o alto desempenho da criptografia simétrica.
- A capacidade de usar chaves públicas brutas em TLS (RFC 7250)
- Suporte para TCP Fast Open (RFC 7413), quando suportado pelo sistema operacional
- Suporte para esquemas de assinatura conectável baseados em provedor em TLS, permitindo que provedores terceirizados de algoritmos pós-quânticos e outros usem esses algoritmos com TLS.
- Suporte para curvas Brainpool no TLS 1.3
- SM4-XTS
Por fim, vale ressaltar que o lançamento desta nova versão do OpenSSL 3.2.0 terá suporte até 23 de novembro de 2025, enquanto o suporte para as ramificações anteriores do OpenSSL 3.1 e 3.0 LTS continuará até março de 2025 e setembro de 2026, respectivamente.
Se você estiver interessado em saber mais sobre isso sobre este novo lançamento, você pode conferir os detalhes nol link a seguir.