После двух лет разработки состоялся (https://www.openssl.org/blog/blog/2018/09/11/release111/)&nb...релиз библиотеки OpenSSL 1.1.1 (https://www.openssl.org) с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Новая ветка включает изменения, нарушающие обратную совместимость на уровне API. Поддержка выпуска OpenSSL 1.1.1 будет осуществляться (https://www.openssl.org/policies/releasestrat.html) в течение пяти лет.
Основные новшества (https://www.openssl.org/news/openssl-1.1.1-notes.html) OpenSSL 1.1.1:
- Поддержка TLS 1.3 (https://www.opennet.ru/opennews/art.shtml?num=49126), который представляет собой улучшенную версию протокола TLS и отличается удалением устаревших и ненадёжных криптографических примитивов (MD5, SHA-224) и возможностей (сжатие, повторное согласование, не-AEAD шифры, статический обмен ключами RSA и DH, указание unix-времени в Hello-сообщениях и т.п.), работает только в режиме forward secrecy (компрометации одного из долговременных ключей не позволяет расшифровать перехваченный сеанс),
обеспечивает более высокую производительность, поддерживает режим 0-RTT (устраняет задержки при согласовании соединений), поддерживает
потоковый шифр ChaCha20 (http://cr.yp.to/chacha.html), алгоритм аутентификации сообщений (MAC) Poly1305 (http://cr.yp.to/mac.html), ключи аутентификации на основе цифровых подписей Ed25519, HKDF (https://en.wikipedia.org/wiki/HKDF) (HMAC-based Extract-and-Expand Key Derivation Function), ключи на основе алгоритмов x25519 (https://en.wikipedia.org/wiki/Curve25519) (RFC 7748 (https://tools.ietf.org/html/rfc7748)) и x448 (RFC 8031 (https://tools.ietf.org/html/rfc8031));
- Настройки конфигурации перенесены в файл configdata.pm;
- Обеспечена возможность использования в сборочном скрипте Configure переменных для утилиты make в стиле GNU;
- Новый модуль STORE (OSSL_STORE);
- Определены пространства имён OSSL и OPENSSL, реализованные в виде префиксов;
- Добавлена поддержка формирования ключей RSA на основе более чем двух случайных простых чисел (multi-prime, RFC 8017 (https://tools.ietf.org/html/rfc8017));
- Реализованы криптографические хэши SM3 (GB/T 32905-2016) и SM4 (GB/T 32907-2016), стандартизированные для учреждений Китая;
- Поддержка расширения TLS для согласования максимального размера фрагмента;
- Поддержка алгоритма симметричного блочного шифрования ARIA (https://ru.wikipedia.org/wiki/ARIA_(%D0%BA%D1...
- Поддержка алгоритма хэширования SHA3;
- Поддержка хеш-функции SipHash;
- Переписан движок devcrypto;
- Значительная переработка встроенного генератора псевдослучайных чисел.
URL: https://www.mail-archive.com/openssl-announce@openssl.o...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49255