OpenSSL 3.4: En Viktig Uppdatering med Stöd för Attributcertifikat och Nya Säkerhetsfunktioner
Introduktion till OpenSSL
OpenSSL är ett omfattande, öppen källkods-bibliotek som tillhandahåller verktyg för att implementera säker kommunikation över datornätverk. Det används brett inom olika applikationer och webbplatser för att säkerställa kryptering och autentisering genom protokoll som SSL (Secure Sockets Layer) och TLS (Transport Layer Security). Genom att erbjuda funktioner som certifikathantering, kryptering och nyckelutbyte spelar OpenSSL en central roll i att skydda dataöverföringar från obehörig åtkomst och manipulation.
Grundläggande om X.509
X.509 är en internationell standard som definierar ett ramverk för offentliga nyckelcertifikat. Dessa certifikat används för att binda offentliga nycklar till identifierbara enheter såsom individer, organisationer eller maskiner. Genom att tillhandahålla en pålitlig metod för att validera identiteter spelar X.509 en avgörande roll inom områden som digital signering, kryptering och autentisering. Ett X.509-certifikat innehåller information som certifikatets ägare, den publika nyckeln, certifikatutfärdarens (Certificate Authority, CA) digitala signatur samt certifikatets giltighetsperiod. Detta ramverk möjliggör säker kommunikation och datautbyte över osäkra nätverk genom att säkerställa att parterna i en kommunikation verkligen är de de utger sig för att vara.
OpenSSL 3.4: Nyheter och Förbättringar
Den senaste versionen, OpenSSL 3.4, har släppts som en betydande uppgradering av biblioteket. Efter mer än sex månaders utveckling sedan version 3.3 introducerar denna release flera nya funktioner och förbättringar som syftar till att stärka säkerheten och effektiviteten i system som använder OpenSSL.
Stöd för Attributcertifikat (RFC 5755)
En av de framstående nyheterna i OpenSSL 3.4 är det initiala stödet för Attributcertifikat, enligt RFC 5755. Attributcertifikat är en typ av certifikat som, till skillnad från traditionella X.509-certifikat, inte identifierar en enhet direkt. Istället tillhandahåller de attribut eller egenskaper som är kopplade till en redan existerande identifierare, såsom ett X.509-certifikat. Detta möjliggör en flexibel och modulär hantering av certifikatsegenskaper, vilket kan vara särskilt användbart i komplexa säkerhetsinfrastrukturer där attribut behöver hanteras separat från identiteter.
Implementering av RFC 9579 (PBMAC1) i PKCS#12
OpenSSL 3.4 inkluderar också implementeringen av RFC 9579, som specificerar Password-Based Message Authentication Code 1 (PBMAC1). PBMAC1 används inom PKCS#12-standarden för att säkerställa integriteten och autentisiteten hos filer som innehåller privata nycklar och certifikat. Genom att implementera PBMAC1 förbättrar OpenSSL säkerheten vid hantering och lagring av känsliga kryptografiska material, vilket minskar risken för obehörig åtkomst och manipulation.
Övriga Nya Funktioner och Förbättringar
Förutom stödet för RFC 5755 och RFC 9579 introducerar OpenSSL 3.4 flera andra viktiga funktioner:
- Integritetsbaserade Cipher Suites i TLS 1.3: Nya cipher suites TLS_SHA256_SHA256 och TLS_SHA384_SHA384 har lagts till, vilket erbjuder integritetsbaserade alternativ för TLS 1.3-protokollet enligt RFC 9150.
- Förbättrad Slumpmässighet: En valfri extra slumpmässig frökälla, RNG JITTER, har införts genom användning av ett statiskt länkat jitterentropy-bibliotek, vilket ökar entropin i genereringen av slumpmässiga tal.
- Certifikathantering: Nya alternativ, -not_before och -not_after, gör det möjligt att explicit ange giltighetsperioder för certifikat som skapas med verktygen req och x509. Dessutom har stöd för att begära Certificate Revocation Lists (CRL) i Certificate Management Protocol (CMP) lagts till.
- Elliptisk Kurva Kryptografi (ECC): Möjlighet att anpassa initialiseringen av elliptiska kurvgrupper (ECC) genom användning av förberäknade värden, vilket bidrar till att reducera CPU-användningen. Denna funktionalitet stöds särskilt i P-256-algoritmen.
- FIPS 140-3 Förberedelser: Uppdateringar till FIPS-leverantören har genomförts för att möta kraven för framtida FIPS 140-3-valideringar, vilket säkerställer fortsatt kompatibilitet med strikta säkerhetsstandarder.
Kompatibilitetsförändringar och Deprecationer
OpenSSL 3.4 medför även förändringar som kan påverka kompatibiliteten med tidigare versioner:
- Avveckling av Funktioner: Funktioner som TS_VERIFY_CTX_set_* har avvecklats och ersatts med TS_VERIFY_CTX_set0_* för förbättrad semantik. Vidare har SSL_SESSION_get_time(), SSL_SESSION_set_time() och SSL_CTX_flush_sessions() ersatts med deras respektive _ex-versioner som är Y2038-säkra.
- FIPS-Leverantörsjusteringar: Implementationerna av nyckelutbytet X25519 och X448 för elliptisk kurva (ECC) i FIPS-leverantören har markerats som icke-godkända och egenskapen fips=no har lagts till. Standarddigestalängder har också tagits bort från SHAKE-128 och SHAKE-256, vilket kräver att xoflen-parametern specificeras vid användning.
- Omstrukturering på Windows: Användningen av katalogerna OPENSSLDIR, ENGINESDIR och MODULESDIR har omstrukturerats för Windows-system. Dessutom används nu ett tomt renegotiate-tillägg i TLS-klienthellos istället för ett tomt renegotiation SCSV för alla anslutningar med minst TLS-version 1.0.
Rekommendationer och Nedladdning
Det rekommenderas att alla användare, webbplatser och operativsystem uppgraderar till OpenSSL 3.4 så snart som möjligt för att dra nytta av de senaste säkerhetsförbättringarna och funktionaliteterna. För ytterligare detaljer och teknisk dokumentation hänvisas till de officiella release notes, och OpenSSL 3.4 är tillgängligt för nedladdning via den officiella webbplatsen.
Sammanfattning
OpenSSL 3.4 representerar en betydande framsteg inom säkerhetsbiblioteket genom att introducera stöd för attributcertifikat enligt RFC 5755 och implementera PBMAC1 enligt RFC 9579. Dessa förbättringar, tillsammans med andra nya funktioner och säkerhetsförbättringar, stärker OpenSSL:s position som ett centralt verktyg för säker kommunikation över nätverk. Uppgradering till denna version är avgörande för att upprätthålla högsta möjliga säkerhetsnivå och kompatibilitet med framtida standarder.
https://github.com/openssl/openssl/blob/openssl-3.4.0/NEWS.md
