“OpenSSL 3.6 เปิดตัวอย่างเป็นทางการ — เสริมความปลอดภัยยุคหลังควอนตัม พร้อมฟีเจอร์ใหม่ระดับองค์กร”
OpenSSL 3.6 ได้รับการเปิดตัวเมื่อวันที่ 1 ตุลาคม 2025 โดยถือเป็นการอัปเดตครั้งใหญ่ของไลบรารีเข้ารหัสยอดนิยมที่ใช้ในเว็บไซต์ แอปพลิเคชัน และระบบเครือข่ายทั่วโลก เวอร์ชันนี้มาพร้อมฟีเจอร์ใหม่ที่ตอบโจทย์ทั้งความปลอดภัยระดับสูงและการเตรียมพร้อมสำหรับยุคหลังควอนตัม (post-quantum cryptography)
หนึ่งในไฮไลต์สำคัญคือการรองรับการตรวจสอบลายเซ็น LMS (Leighton-Micali Signature) ตามมาตรฐาน NIST SP 800-208 ซึ่งเป็นลายเซ็นที่ออกแบบมาเพื่อความปลอดภัยในยุคที่คอมพิวเตอร์ควอนตัมอาจทำลายระบบเข้ารหัสแบบเดิมได้ โดย LMS รองรับทั้งในโหมด FIPS และโหมดทั่วไป
OpenSSL 3.6 ยังเพิ่มการรองรับคีย์แบบ opaque symmetric key objects ผ่านฟังก์ชันใหม่ เช่น EVP_KDF_CTX_set_SKEY() และ EVP_PKEY_derive_SKEY() ซึ่งช่วยให้การจัดการคีย์ในระบบองค์กรมีความปลอดภัยมากขึ้น
นอกจากนี้ยังมีฟีเจอร์ใหม่อีกมากมาย เช่น:
เครื่องมือใหม่ openssl configutl สำหรับจัดการไฟล์คอนฟิก
รองรับการคอมไพล์ด้วย C99 (ไม่รองรับ ANSI-C อีกต่อไป)
เพิ่มการตรวจสอบ PCT (Power-On Self Test) สำหรับการนำเข้าคีย์ในโหมด FIPS
รองรับ ML-KEM และ KEMRecipientInfo สำหรับ CMS ตามมาตรฐาน RFC 9629
เพิ่มการสร้างลายเซ็น ECDSA แบบ deterministic ตาม FIPS 186-5
รองรับ TLS 1.3 OCSP multi-stapling สำหรับเซิร์ฟเวอร์
เพิ่มการปรับแต่งหน่วยความจำปลอดภัยด้วย CRYPTO_MEM_SEC
ปรับปรุงประสิทธิภาพด้วย Intel AVX-512 และ VAES สำหรับ AES-CFB128
รองรับ AES-CBC+HMAC-SHA แบบ interleaved บน AArch64
เพิ่ม SHA-2 assembly สำหรับสถาปัตยกรรม LoongArch
เพิ่ม API ใหม่ CRYPTO_THREAD_[get|set]_local ลดการพึ่งพาตัวแปร thread-local ของระบบปฏิบัติการ
OpenSSL 3.6 ยังลบการรองรับแพลตฟอร์ม VxWorks และยกเลิกการใช้งานฟังก์ชัน EVP_PKEY_ASN1_METHOD ที่ล้าสมัย พร้อมเพิ่มการตรวจสอบขนาด buffer ในการเข้ารหัส RSA เพื่อป้องกันการเขียนข้อมูลเกินขอบเขต
ข้อมูลสำคัญจากข่าว
OpenSSL 3.6 เปิดตัวเมื่อ 1 ตุลาคม 2025 เป็นการอัปเดตใหญ่ของไลบรารีเข้ารหัส
รองรับ LMS signature verification ตามมาตรฐาน SP 800-208 ทั้งใน FIPS และโหมดทั่วไป
เพิ่มการรองรับ EVP_SKEY สำหรับการจัดการคีย์แบบ opaque
เปิดตัวเครื่องมือใหม่ openssl configutl สำหรับจัดการไฟล์คอนฟิก
รองรับการคอมไพล์ด้วย C99 ไม่รองรับ ANSI-C อีกต่อไป
เพิ่ม PCT สำหรับการนำเข้าคีย์ใน RSA, EC, ECX และ SLH-DSA
รองรับ ML-KEM และ KEMRecipientInfo สำหรับ CMS ตาม RFC 9629
เพิ่มการสร้างลายเซ็น ECDSA แบบ deterministic ตาม FIPS 186-5
รองรับ TLS 1.3 OCSP multi-stapling สำหรับเซิร์ฟเวอร์
เพิ่ม CRYPTO_MEM_SEC สำหรับจัดการหน่วยความจำปลอดภัย
ปรับปรุงประสิทธิภาพด้วย AVX-512, VAES และ SHA-2 assembly
รองรับ AES-CBC+HMAC-SHA บน AArch64
เพิ่ม API CRYPTO_THREAD_[get|set]_local ลดการพึ่งพา OS thread-local
ลบการรองรับ VxWorks และยกเลิกฟังก์ชัน EVP_PKEY_ASN1_METHOD
ข้อมูลเสริมจากภายนอก
LMS เป็นหนึ่งในลายเซ็นที่ออกแบบมาเพื่อความปลอดภัยในยุค post-quantum
ML-KEM เป็นอัลกอริธึมเข้ารหัสแบบ KEM ที่ใช้ในมาตรฐาน CMS รุ่นใหม่
FIPS 140-3 เป็นมาตรฐานความปลอดภัยที่เข้มงวดสำหรับระบบที่ใช้ในภาครัฐสหรัฐฯ
การใช้ deterministic ECDSA ช่วยลดความเสี่ยงจากการใช้ nonce ซ้ำ
OCSP multi-stapling ช่วยให้เซิร์ฟเวอร์ส่งข้อมูลการตรวจสอบใบรับรองหลายใบพร้อมกัน
https://9to5linux.com/openssl-3-6-officially-released-with-lms-signature-verification-support-more 🔐 “OpenSSL 3.6 เปิดตัวอย่างเป็นทางการ — เสริมความปลอดภัยยุคหลังควอนตัม พร้อมฟีเจอร์ใหม่ระดับองค์กร”
OpenSSL 3.6 ได้รับการเปิดตัวเมื่อวันที่ 1 ตุลาคม 2025 โดยถือเป็นการอัปเดตครั้งใหญ่ของไลบรารีเข้ารหัสยอดนิยมที่ใช้ในเว็บไซต์ แอปพลิเคชัน และระบบเครือข่ายทั่วโลก เวอร์ชันนี้มาพร้อมฟีเจอร์ใหม่ที่ตอบโจทย์ทั้งความปลอดภัยระดับสูงและการเตรียมพร้อมสำหรับยุคหลังควอนตัม (post-quantum cryptography)
หนึ่งในไฮไลต์สำคัญคือการรองรับการตรวจสอบลายเซ็น LMS (Leighton-Micali Signature) ตามมาตรฐาน NIST SP 800-208 ซึ่งเป็นลายเซ็นที่ออกแบบมาเพื่อความปลอดภัยในยุคที่คอมพิวเตอร์ควอนตัมอาจทำลายระบบเข้ารหัสแบบเดิมได้ โดย LMS รองรับทั้งในโหมด FIPS และโหมดทั่วไป
OpenSSL 3.6 ยังเพิ่มการรองรับคีย์แบบ opaque symmetric key objects ผ่านฟังก์ชันใหม่ เช่น EVP_KDF_CTX_set_SKEY() และ EVP_PKEY_derive_SKEY() ซึ่งช่วยให้การจัดการคีย์ในระบบองค์กรมีความปลอดภัยมากขึ้น
นอกจากนี้ยังมีฟีเจอร์ใหม่อีกมากมาย เช่น:
🔰 เครื่องมือใหม่ openssl configutl สำหรับจัดการไฟล์คอนฟิก
🔰 รองรับการคอมไพล์ด้วย C99 (ไม่รองรับ ANSI-C อีกต่อไป)
🔰 เพิ่มการตรวจสอบ PCT (Power-On Self Test) สำหรับการนำเข้าคีย์ในโหมด FIPS
🔰 รองรับ ML-KEM และ KEMRecipientInfo สำหรับ CMS ตามมาตรฐาน RFC 9629
🔰 เพิ่มการสร้างลายเซ็น ECDSA แบบ deterministic ตาม FIPS 186-5
🔰 รองรับ TLS 1.3 OCSP multi-stapling สำหรับเซิร์ฟเวอร์
🔰 เพิ่มการปรับแต่งหน่วยความจำปลอดภัยด้วย CRYPTO_MEM_SEC
🔰 ปรับปรุงประสิทธิภาพด้วย Intel AVX-512 และ VAES สำหรับ AES-CFB128
🔰 รองรับ AES-CBC+HMAC-SHA แบบ interleaved บน AArch64
🔰 เพิ่ม SHA-2 assembly สำหรับสถาปัตยกรรม LoongArch
🔰 เพิ่ม API ใหม่ CRYPTO_THREAD_[get|set]_local ลดการพึ่งพาตัวแปร thread-local ของระบบปฏิบัติการ
OpenSSL 3.6 ยังลบการรองรับแพลตฟอร์ม VxWorks และยกเลิกการใช้งานฟังก์ชัน EVP_PKEY_ASN1_METHOD ที่ล้าสมัย พร้อมเพิ่มการตรวจสอบขนาด buffer ในการเข้ารหัส RSA เพื่อป้องกันการเขียนข้อมูลเกินขอบเขต
✅ ข้อมูลสำคัญจากข่าว
➡️ OpenSSL 3.6 เปิดตัวเมื่อ 1 ตุลาคม 2025 เป็นการอัปเดตใหญ่ของไลบรารีเข้ารหัส
➡️ รองรับ LMS signature verification ตามมาตรฐาน SP 800-208 ทั้งใน FIPS และโหมดทั่วไป
➡️ เพิ่มการรองรับ EVP_SKEY สำหรับการจัดการคีย์แบบ opaque
➡️ เปิดตัวเครื่องมือใหม่ openssl configutl สำหรับจัดการไฟล์คอนฟิก
➡️ รองรับการคอมไพล์ด้วย C99 ไม่รองรับ ANSI-C อีกต่อไป
➡️ เพิ่ม PCT สำหรับการนำเข้าคีย์ใน RSA, EC, ECX และ SLH-DSA
➡️ รองรับ ML-KEM และ KEMRecipientInfo สำหรับ CMS ตาม RFC 9629
➡️ เพิ่มการสร้างลายเซ็น ECDSA แบบ deterministic ตาม FIPS 186-5
➡️ รองรับ TLS 1.3 OCSP multi-stapling สำหรับเซิร์ฟเวอร์
➡️ เพิ่ม CRYPTO_MEM_SEC สำหรับจัดการหน่วยความจำปลอดภัย
➡️ ปรับปรุงประสิทธิภาพด้วย AVX-512, VAES และ SHA-2 assembly
➡️ รองรับ AES-CBC+HMAC-SHA บน AArch64
➡️ เพิ่ม API CRYPTO_THREAD_[get|set]_local ลดการพึ่งพา OS thread-local
➡️ ลบการรองรับ VxWorks และยกเลิกฟังก์ชัน EVP_PKEY_ASN1_METHOD
✅ ข้อมูลเสริมจากภายนอก
➡️ LMS เป็นหนึ่งในลายเซ็นที่ออกแบบมาเพื่อความปลอดภัยในยุค post-quantum
➡️ ML-KEM เป็นอัลกอริธึมเข้ารหัสแบบ KEM ที่ใช้ในมาตรฐาน CMS รุ่นใหม่
➡️ FIPS 140-3 เป็นมาตรฐานความปลอดภัยที่เข้มงวดสำหรับระบบที่ใช้ในภาครัฐสหรัฐฯ
➡️ การใช้ deterministic ECDSA ช่วยลดความเสี่ยงจากการใช้ nonce ซ้ำ
➡️ OCSP multi-stapling ช่วยให้เซิร์ฟเวอร์ส่งข้อมูลการตรวจสอบใบรับรองหลายใบพร้อมกัน
https://9to5linux.com/openssl-3-6-officially-released-with-lms-signature-verification-support-more