OpenSSL 3.6 Se Lanza Oficialmente con Soporte para Verificación de Firmas LMS y Más

SoftwareVarios

Published:

Reading time: 3 min.

La nueva versión mayor de la biblioteca crítica para la seguridad en internet introduce una serie de nuevas características, optimizaciones y ajustes de cumplimiento normativo.

1 de Octubre de 2025 — El proyecto OpenSSL ha anunciado el lanzamiento oficial de OpenSSL 3.6, una actualización importante para esta biblioteca de código abierto, multiplataforma y gratuita que es fundamental para las comunicaciones seguras en internet. Esta versión incorpora desde nuevos algoritmos y soporte para hardware moderno hasta importantes mejoras de seguridad y cumplimiento con los estándares FIPS más recientes.

Estas son las novedades más destacadas que trae consigo OpenSSL 3.6.

Nuevos Algoritmos y Estándares de Seguridad

Uno de los aspectos más significativos de esta versión es la adopción de algoritmos contemporáneos y post-cuánticos:

  • Verificación de Firmas LMS: Se añade soporte para la verificación de firmas basadas en el esquema LMS (Leighton-Micali Signature) según el estándar NIST SP 800-208, disponible tanto en el proveedor FIPS como en el predeterminado.

  • Soporte para ML-KEM en CMS: El sistema de mensajería criptográfica (CMS) ahora es compatible con ML-KEM (antes conocido como Kyber), un algoritmo de encapsulación de claves considerado resistente a los ataques de los ordenadores cuánticos, así como con KEMRecipientInfo (RFC 9629).

  • ECDSA Determinístico: El proveedor FIPS ahora incluye soporte para la generación de firmas ECDSA determinísticas según FIPS 186-5, lo que mejora la seguridad al eliminar la necesidad de una fuente de aleatoriedad confiable durante el proceso de firma.

Mejoras en el Manejo de Claves y Seguridad

La gestión de claves recibe varias mejoras críticas:

  • Claves Simétricas Opacas (EVP_SKEY): Se introduce soporte para objetos de clave simétrica opacos en los métodos de derivación e intercambio de claves, permitiendo un manejo más seguro y flexible de las claves a través de nuevas funciones como EVP_KDF_derive_SKEY().

  • Pruebas de Conformidad (PCT): Se refuerza el cumplimiento de FIPS 140-3 con la adición de PCT (Proofs of Correctness) para la generación de claves DH y para la importación de claves en algoritmos como SLH-DSA, RSA, EC y ECX.

  • Endurecimiento de RSA: Se corrigió una vulnerabilidad potencial donde una operación de cifrado con clave pública RSA en un búfer demasiado pequeño podría haber causado una escritura fuera de los límites. Ahora, esta situación reporta un error de forma segura.

Rendimiento y Soporte de Hardware

OpenSSL 3.6 viene cargado de optimizaciones para explotar al máximo el hardware moderno:

  • Optimizaciones Intel: Implementación de instrucciones AVX-512 y VAES para acelerar los algoritmos AES-CFB128.

  • Mejoras en ARM64: Soporte para el algoritmo intercalado AES-CBC+HMAC-SHA en arquitecturas AArch64 (ARM de 64 bits).

  • Arquitectura LoongArch: Se añade una implementación en ensamblador para SHA-2, mejorando significativamente el rendimiento en esta arquitectura.

Nuevas Utilidades y Cambios en la Configuración

  • Utilidad openssl configutil: Se introduce una nueva herramienta para procesar el archivo de configuración de OpenSSL y volcar su equivalente, facilitando la depuración y gestión de configuraciones complejas.

  • Requisito de Compilador C99: Para construir OpenSSL ahora se requiere un compilador que soporte características del estándar C99, ya que un toolchain ANSI-C ya no es suficiente.

  • Memoria Segura: Se añaden las opciones CRYPTO_MEM_SEC y CRYPTO_MEM_SEC_MINSIZE para inicializar memoria segura desde la aplicación OpenSSL.

Deprecaciones y Eliminaciones

Como es habitual en una versión mayor, se elimina y desestima soporte para ciertas tecnologías:

  • Fin del Soporte para VxWorks: Se elimina el soporte para la plataforma VxWorks.

  • Funciones Obsoletas: Las funciones relacionadas con EVP_PKEY_ASN1_METHOD se marcan como obsoletas.

Descarga y Más Información

OpenSSL 3.6 representa un paso más en la evolución de esta biblioteca esencial, priorizando la seguridad moderna, el rendimiento y el cumplimiento normativo. Los usuarios y desarrolladores que dependen de OpenSSL para la seguridad de sus aplicaciones y servicios están invitados a revisar los detalles completos en las notas de la versión en GitHub, donde también podrán descargar el código fuente para su compilación.

Fuente: Anuncio oficial y notas de lanzamiento de OpenSSL

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles