OpenSSL 1.1.1(LTS版)が2018年9月11日リリースされた。TLS 1.3に対応し、今後5年間サポートが継続される。LTS版となるので、その特徴をしっかりと抑えておきたい。
記事の目次
OpenSSL 1.1.1の特徴
OpenSSL 1.1.1の主な特徴は以下の3点となる。
- TLS 1.3のサポート
- 乱数生成器のロジックの全面書き換え
- 様々な新しい暗号化方式の追加
TLS 1.3のサポート
OpenSSL 1.1.1を使用することで、TLS 1.3が使用可能となる。各システムにOpenSSL 1.1.1が搭載されるには少し時間がかかるかもしれないが、TLS 1.3を試すためにOpenSSLをソースからコンパイルして使用してみるのも良いかもしれない。TLS 1.3の大きな特徴は、以下のとおりである。
- サーバとクライアント間のコネクションにおけるラウンドトリップ数の減少
- 特定の環境においてはラウンドトリップ無しで暗号化データを転送可能(0-RTT)
- 安全ではなくなった暗号化方式およびハンドシェークの廃止
乱数生成器のロジックの全面書き換え
暗号の安全性の確保のために乱数発生器は非常に大切であるが、全面的に書き換えが行われ、デフォルトで、NIST SP800-90Ar1に準拠したAES-CTRを使用した決定論的乱数生成器(DBRG)が使用されるようになった。
様々な新しい暗号化方式の追加
OpenSSL 1.1.1では、以下の新しい暗号化方式が使用可能となった。今後主流になっていく可能性のある暗号化方式を試すことも容易となった。
- SHA3
- SHA512/224 and SHA512/256
- EdDSA (including Ed25519 and Ed448)
- X448 (adding to the existing X25519 support in 1.1.0)
- Multi-prime RSA
- SM2
- SM3
- SM4
- SipHash
- ARIA (including TLS support)
OpenSSLのバージョンとサポート期間
OpenSSL 1.1.1の登場に伴い、サポートされるバージョンは、1.0.2系列(LTS)、1.1.0、1.1.1系列(LTS)となる。複数のバージョンを長くサポートするわけではないので、OpenSSL 1.1.1への早めの移行を進めていく必要がある。
| バージョン | サポート期限 | 備考 |
|---|---|---|
| 1.1.1 | 今後5年間 | ※LTS版 |
| 1.1.0 | 1.1.1リリース後1年間 | ※LTS版ではない |
| 1.0.2 | フルサポートは2018年末 | ※LTS版、完全なサポート切れは2019年末 |
まとめ
新しいLTS版に相応しく、全面的に刷新されたTLSの新バージョンに対応し、合わせて乱数発生器の全面的な書き換え、および新しい暗号化方式の取り込みがされている。TLS 1.3について、理解を深めつつ新しいOpenSSLを使用することで、インターネットの通信セキュリティの根幹部分に対応していきたい。
参考
OpenSSL
本サイト
