- Вышла новая версия криптографической библиотеки OpenSSL 3.6.0 с поддержкой новых алгоритмов и улучшениями безопасности.
- Включена поддержка структуры EVP_SKEY для работы с симметричными ключами и интеграция с протоколом CMP.
- Исправлены несколько серьёзных уязвимостей, включая CVE-2025-9230, CVE-2025-9231 и CVE-2025-9232.
1 октября 2025 года был официально представлен релиз OpenSSL 3.6.0 — популярной открытой криптографической библиотеки, широко используемой для обеспечения безопасности приложений и сетей. В новой версии реализована поддержка современных методов криптографии и усовершенствован протокол SSL/TLS на уровне ядра Linux-клиентов.
OpenSSL 3.6.0 расширяет функциональность за счёт введения абстрактной структуры EVP_SKEY, которая теперь позволяет обрабатывать симметричные ключи как непрозрачные объекты с дополнительными метаданными. Это даёт возможность более гибко выполнять операции шифрования, обмена и генерации ключей. Также сделан акцент на повышении уровня безопасности в контексте квантовых вычислений: добавлена поддержка категорий безопасности NIST — от 0 до 5, отражающих устойчивость криптографических методов ко взлому на квантовых компьютерах.
Важной новацией стал запуск поддержки схемы цифровых подписей LMS (Leighton-Micali Signatures) — устойчивая к квантовым атакам модель, основанная на хэшированных деревьях Меркла, что повышает защищённость цифровой целостности прошивок и приложений.
Также обновлён модуль FIPS (Federal Information Processing Standard): теперь он поддерживает детерминированное формирование цифровых подписей ECDSA в соответствии с требованиями стандарта FIPS 186-5. Это улучшает воспроизводимость подписей при одинаковых входных данных, что важно для обеспечения стандартизированной безопасности.
Новая утилита openssl configutl позволяет объединять многокомпонентные конфигурации в единый сводный файл, упрощая управление настройками. Вместе с этим разработчики повысили минимальные требования к сборке, теперь необходим компилятор, поддерживающий стандарт C-99, что обеспечивает более современную и стабильную сборку библиотеки.
Из примечательных изменений стоит отметить объявление устаревшими функций, связанных с EVP_PKEY_ASN1_METHOD, а также прекращение поддержки платформы VxWorks.
Безопасность является приоритетом нового релиза: исправлены несколько критических уязвимостей. Так, CVE-2025-9230 позволяла переписать или прочитать данные вне выделенного буфера при дешифровке CMS-сообщений, что теоретически могло привести к выполнению произвольного кода. Уязвимость CVE-2025-9231 связана с потенциальной атакой побочных каналов на алгоритм SM2 на 64-битных ARM-системах, что может привести к раскрытию закрытого ключа. Наконец, CVE-2025-9232 устраняет ошибку в встроенном HTTP-клиенте, предотвращая аварийное завершение при обработке специально сформированных URL.
Стоит отметить, что выпуск OpenSSL 3.6.0 относится к версии с обычным сроком поддержки — около 13 месяцев. В то же время OpenSSL 3.5.0 имеет статус LTS (длительная поддержка), что делает его актуальным выбором для долгосрочного использования до 2030 года.
Подводя итог, релиз OpenSSL 3.6.0 знаменует собой важный шаг вперёд в развитии криптографического инструментария с учётом новых вызовов безопасности и современных требований разработчиков и системных администраторов.
