Cifrado del futuro: OpenSSL 3.5 deja atrás el pasado por la seguridad del mañana

El proyecto OpenSSL anunció el lanzamiento de la versión beta de la biblioteca OpenSSL 3.5. Esta nueva compilación introduce cambios en el comportamiento predeterminado y añade nuevas funciones que reflejan la evolución del proyecto hacia estándares criptográficos modernos y seguros.

Un cambio importante afecta al algoritmo de cifrado utilizado por defecto en las utilidades req, cms y smime. En lugar del anterior des-ede3-cbc, ahora se emplea aes-256-cbc. Esta transición hacia un algoritmo más sólido responde a la necesidad de reforzar la seguridad ante los desafíos actuales.

También se actualizó la configuración de TLS. La lista de grupos compatibles por defecto ha sido renovada: ahora incluye grupos híbridos con soporte para algoritmos KEM poscuánticos, mientras que algunos grupos obsoletos y en desuso han sido eliminados. En los parámetros de keyshare, ahora se ofrecen por defecto X25519MLKEM768 y X25519.

Los desarrolladores anunciaron la obsolescencia de todas las funciones BIO_meth_get_*(), utilizadas anteriormente para trabajar con tipos BIO personalizados. Esta decisión busca unificar las interfaces y mejorar su seguridad.

OpenSSL 3.5 añade soporte para el lado servidor del protocolo QUIC, descrito en el RFC 9000. También se ha implementado compatibilidad con pilas QUIC externas, incluyendo la posibilidad de utilizar latencia cero (0-RTT). Esto amplía el uso de OpenSSL en soluciones de red de alto rendimiento.

La versión beta también incorpora soporte experimental para varios algoritmos poscuánticos: ML-KEM, ML-DSA y SLH-DSA. Su inclusión refleja el compromiso del proyecto con la resistencia criptográfica frente a los futuros desafíos de la computación cuántica.

En la configuración se ha añadido la nueva opción no-tls-deprecated-ec, que permite desactivar los grupos considerados obsoletos según el RFC 8422. Otra opción añadida —enable-fips-jitter— activa la generación de entropía basada en JITTER dentro del módulo FIPS.

Para el CMP (Protocolo de Gestión de Certificados), se ha implementado el soporte para la generación centralizada de claves. Además, se han añadido objetos de clave simétrica EVP_SKEY, que garantizan un aislamiento más estricto de los datos clave y facilitan su uso mediante la API.

También se ha añadido compatibilidad con múltiples grupos keyshare en TLS, lo que mejora la flexibilidad durante el establecimiento de conexiones. En la API se incorporaron funciones que permiten la canalización (pipelining) en implementaciones personalizadas de algoritmos de cifrado.

Se puede consultar la versión preliminar de OpenSSL 3.5 y descargarla desde la página oficial del proyecto o desde el repositorio de GitHub. Esta beta está destinada a pruebas y podría sufrir modificaciones antes del lanzamiento final.