OpenSSL 1.1.0 veröffentlicht

Veröffentlicht: Donnerstag, 01. September 2016 11:35

Seit dem 25. August ist die erste Stable Version von OpenSSL 1.1.0 verfügbar.

Neu hinzugekommene Algorithmen sind u. a. der moderne Stream Cipher ChaCha20 mit Poly1305 Authentisierung, der Message Authentication Mode CCM (Counter with CBC-MAC) für AES Cipher und die elliptische Kurve X25519 für den Diffie-Hellman-Schlüsselaustausch.

Große Teile des Codes wurden für die Version neu geschrieben. Die API ist inkompatibel zu allen Vorgängerversionen, so dass alle Anwendungen, die OpenSSL nutzen, für 1.1.x weitgehend und sorgfältig angepasst werden müssen. Daher dürfte es noch eine Weile dauern, bis die gängigen Linux-Distributionen mit der neuen OpenSSL-Version ausgeliefert werden.

Schutz vor Sweet32

Zugleich mit der Veröffentlichung der Version 1.1.0 reagieren die OpenSSL-Entwickler auf den unter dem Namen Sweet32 bekanntgewordenen Angriff auf 3DES (CVE-2016-2183):

Nicht reanimierbar abgeschaltet wurden in 1.1.0 das veraltete SSLv2-Protokoll (SSLv3 bleibt erhalten) sowie sämtliche 40- und 56-Bit Cipher.

Referenzen:

1. https://www.openssl.org/news/openssl-1.1.0-notes.html

2. https://www.openssl.org/blog/blog/2016/08/24/sweet32

3. https://sweet32.info/SWEET32_CCS16.pdf