Sommario
Il progetto OpenSSL ha rilasciato l’alpha1 di OpenSSL 3.6, una versione di test che integra nuove funzionalità crittografiche avanzate e introduce miglioramenti nei provider FIPS e default. Tra le principali novità spicca il supporto alla verifica delle firme LMS (Leighton-Micali Signatures) secondo lo standard NIST SP 800-208, una tecnologia che rientra nel filone della crittografia post-quantistica. La release aggiunge anche gli oggetti EVP_SKEY per la gestione opaca delle chiavi simmetriche, test PCT per SLH-DSA e l’utility openssl configutl per semplificare la gestione dei file di configurazione. OpenSSL 3.6 richiede compilatori compatibili con C-99 ed elimina il supporto a piattaforme legacy come VxWorks, segnando un’evoluzione verso maggiore efficienza e sicurezza.
Novità principali in OpenSSL 3.6
La novità più rilevante è l’introduzione della verifica di firme LMS nei provider FIPS e default, che amplia il supporto alle firme resistenti agli attacchi quantistici. Parallelamente, vengono introdotti gli oggetti EVP_SKEY, concepiti per gestire chiavi simmetriche come entità opache, migliorando sicurezza e modularità. OpenSSL 3.6 integra inoltre test PCT (Pairwise Consistency Test) per l’importazione di chiavi SLH-DSA in modalità FIPS, aggiungendo un ulteriore strato di validazione. Il team ha anche implementato il supporto alla generazione deterministica di firme ECDSA conforme a FIPS 186-5, aumentando la robustezza nelle implementazioni FIPS. Sul fronte della praticità, la nuova utility openssl configutl consente di elaborare e scaricare configurazioni OpenSSL equivalenti, migliorando la trasparenza e la gestione da parte degli amministratori.
Miglioramenti nel provider FIPS
Il provider FIPS viene aggiornato per garantire piena conformità con FIPS 140-3 IG 10.3.A, includendo PCT su importazioni di chiavi RSA, EC ed ECX. Questi test rafforzano la sicurezza operativa e riducono i rischi di configurazioni deboli. L’aggiunta della generazione deterministica di firme ECDSA nel provider FIPS assicura consistenza e aderenza agli standard federali. L’integrazione dei test SLH-DSA nel contesto FIPS consolida l’impegno di OpenSSL nel supporto alla crittografia post-quantistica, garantendo che le implementazioni possano essere certificate per l’uso in contesti regolati e ad alta sicurezza.
Deprecazioni e rimozioni in OpenSSL 3.6
Per migliorare manutenzione e sicurezza, OpenSSL 3.6 depreca le funzioni EVP_PKEY_ASN1_METHOD, rimuove il supporto a piattaforme obsolete come VxWorks e richiede l’uso di compilatori compatibili con C-99. Questo cambiamento elimina la necessità di mantenere compatibilità con ambienti legacy, alleggerendo la codebase e permettendo l’adozione di funzionalità moderne. Gli sviluppatori hanno pubblicato linee guida di migrazione per facilitare il passaggio dalle API deprecate, riducendo il rischio di regressioni per i progetti che aggiornano alla nuova versione.
Requisiti di build e ottimizzazioni
Con OpenSSL 3.6 viene sancita l’adozione definitiva di C-99, con test approfonditi su GCC, Clang e MSVC. Il team ha ottimizzato il supporto per ambienti Unix-like, Windows e ARM64, assicurando compatibilità con i moderni sistemi di sviluppo. Gli script di build sono stati rivisti per ridurre warning e aumentare la portabilità, mentre l’integrazione con CI/CD e strumenti come Valgrind migliora la qualità dei test.
Utilità openssl configutl
La nuova utility openssl configutl permette di processare i file di configurazione OpenSSL e di generare dump leggibili delle configurazioni equivalenti. Questo strumento agevola il troubleshooting, riduce errori manuali e consente l’integrazione in pipeline automatizzate, rafforzando la gestione e l’audit di configurazioni complesse.
Informazioni sulla release alpha1
La versione alpha1 di OpenSSL 3.6, disponibile su GitHub, è destinata esclusivamente a scopi di test e sperimentazione. Non è adatta a contesti di produzione, ma rappresenta un passaggio fondamentale verso la release stabile. Il team OpenSSL invita la community a contribuire con feedback e segnalazioni di bug, con l’obiettivo di rafforzare sicurezza e stabilità in vista delle prossime versioni beta.
