开源工具OpenSSL 3.6.0：新功能，加密改进

OpenSSL项目宣布发布OpenSSL 3.6.0，这是一个功能更新，带来了显著的功能改进、标准合规性以及开发人员和安全团队需要牢记的一些关键弃用项。

关键加密增强功能

OpenSSL 3.6.0引入了几个重要的加密更新：

• PKEY对象的NIST安全类别：公钥对象现在携带NIST安全类别信息。
• 不透明对称密钥对象：新的API支持EVP_SKEY不透明对称密钥对象，用于密钥派生和密钥交换提供程序方法。增加了三个新函数：EVP_KDF_CTX_set_SKEY（）、EVP_KDF_derive_SKEY（）和EVP_PKEY_derive_SKEY（）。
• LMS签名验证：根据NIST SP 800-208，增加了对Leighton-Micali签名（LMS）的验证支持。此功能在FIPS和默认提供商中都可用。
• 确定性ECDSA（FIPS 186-5）：FIPS提供商现在支持FIPS 186-5中规定的确定性ECDSA签名生成，与随机方法相比，提供了更强大的安全保证。

开发人员和构建更改

一些面向开发人员的变化很突出：

• C99要求：OpenSSL不能再只用ANSI-C工具链来构建。今后，编译器必须支持C99功能。
• 删除VxWorks支持：对VxWorks操作系统的支持已被放弃。
• 新的配置实用程序：引入了一个名为openssl configutl的工具。它处理OpenSSL配置文件并转储“等配置文件”，简化了配置审计和复制。

弃用

该版本还继续清理旧的API。

• EVP_PKEY_ASN1_METHOD：与EVP_PKEY_ASN1_METHOD相关的函数已被弃用，这加强了向基于提供商的抽象的转变。

持续使用考虑因素

对于开发人员和安全专业人士来说，头条项目是LMS签名验证支持和FIPS 186-5确定性ECDSA，两者都使OpenSSL与不断发展的NIST标准保持一致。开发人员还应检查构建工具链是否符合C99，并注意删除VxWorks支持。

OpenSSL 3.6.0标志着平衡加密敏捷性与整个生态系统稳定性的又一步。一如既往，强烈建议在部署前在预生产环境中进行测试。

原文链接地址：https://www.helpnetsecurity.com/2025/10/02/openssl-3-6-0-released-new-features/