Cập Nhật OpenSSL 3.5: Hỗ Trợ Mã Hóa Hậu lượng tử, QUIC, và Nhiều Tính Năng Mới

10/04/2025
2 mins read
OpenSSL 3.5 đã được phát hành với một số nâng cấp đáng kể, bao gồm hỗ trợ cho các thuật toán mã hóa hậu lượng tử (PQC), QUIC phía máy chủ (RFC 9000), và cải tiến trong việc thiết lập khóa TLS. Dưới đây là các tính năng và cập nhật chính:
Nội dung
1. Hỗ trợ Mã hóa Hậu lượng tử (PQC)
2. Hỗ trợ QUIC phía máy chủ
3. Cải tiến trong Thiết lập Khóa TLS
4. Thay đổi về Bộ Mã Hóa Mặc Định
5. Tùy chọn Cấu hình và Khai tử
6. Tạo Khóa Trung tâm và Đối tượng Khóa Đối xứng
7. Hỗ trợ API cho Lập Luồng
Vấn đề Đã Biết

1. Hỗ trợ Mã hóa Hậu lượng tử (PQC)

  • ML-KEM, ML-DSA, và SLH-DSA: OpenSSL 3.5 giới thiệu hỗ trợ cho các thuật toán PQC, được thiết kế để chống lại các cuộc tấn công của máy tính lượng tử. Điều này bao gồm ML-KEM (Cơ chế đóng gói khóa đa prime dựa trên mạng lưới), ML-DSA (Thuật toán chữ ký số đa prime dựa trên mạng lưới), và SLH-DSA (Thuật toán chữ ký số dựa trên isogeny siêu đặc trưng).

2. Hỗ trợ QUIC phía máy chủ

  • RFC 9000: Bản phát hành bao gồm hỗ trợ cho QUIC phía máy chủ, là một giao thức truyền tải được thiết kế để cải thiện hiệu suất và độ tin cậy của lưu lượng internet. Điều này bao gồm hỗ trợ cho các stack QUIC của bên thứ ba và hỗ trợ 0-RTT (Thời gian chuyến đi bằng không) cho các kết nối nhanh hơn.

3. Cải tiến trong Thiết lập Khóa TLS

  • Nhiều Khóa TLS: OpenSSL 3.5 cung cấp nhiều khóa TLS, bao gồm X25519MLKEM768X25519, để tăng cường các tùy chọn thiết lập khóa. Điều này cung cấp nhiều sự linh hoạt hơn trong cài đặt mật mã.

4. Thay đổi về Bộ Mã Hóa Mặc Định

  • Bộ mã hóa mặc định cho các ứng dụng req, cms, và smime đã được thay đổi từ des-ede3-cbc sang aes-256-cbc, một phương pháp mã hóa mạnh hơn.

5. Tùy chọn Cấu hình và Khai tử

  • Tùy chọn Cấu hình Mới: Bản phát hành giới thiệu các tùy chọn cấu hình mới như no-tls-deprecated-ec để vô hiệu hóa hỗ trợ cho các nhóm TLS đã bị khai tử trong RFC8422 và enable-fips-jitter để kết hợp các nguồn hạt giống JITTER cho nhà cung cấp FIPS.
  • Khai tử của Các Hàm BIO_meth_get_*: Tất cả các hàm BIO_meth_get_*() đã bị khai tử, điều này có thể thúc đẩy việc thay đổi trong mã nguồn cũ nhưng mở đường cho các phương pháp hiện đại hơn trong chức năng lớp bio.

6. Tạo Khóa Trung tâm và Đối tượng Khóa Đối xứng

  • Tạo Khóa Trung tâm trong CMP: Bản phát hành hỗ trợ tạo khóa trung tâm trong CMP (Giao thức Quản lý Chứng chỉ), điều này mang lại sự tiện lợi và kiểm soát tốt hơn cho các triển khai lớn.
  • Đối tượng Khóa Đối xứng Không rõ (EVP_SKEY): Hỗ trợ cho các đối tượng khóa đối xứng không rõ (EVP_SKEY) đã được thêm vào, cung cấp thêm chức năng mật mã.

7. Hỗ trợ API cho Lập Luồng

  • Bản phát hành cung cấp hỗ trợ API cho lập luồng trong các thuật toán mã hóa được cung cấp, đây là một cải tiến rất đáng hoan nghênh cho những người tối ưu hóa ứng dụng hiệu suất cao.

Vấn đề Đã Biết

  • Một vấn đề đã biết có thể ảnh hưởng đến một số người dùng: gọi SSL_accept trên các đối tượng trả về từ SSL_accept_connection dẫn đến một lỗi bất ngờ thay vì tiến triển trong quá trình bắt tay như mong đợi. Các nhà phát triển có thể giải quyết vấn đề này bằng cách gọi SSL_do_handshake thay thế, mặc dù có một bản sửa lỗi vĩnh viễn dự kiến cho OpenSSL 3.5.1.

Để biết thêm thông tin chi tiết, nhật ký thay đổi của OpenSSL 3.5 chứa danh sách toàn diện về tất cả các thay đổi và cập nhật.