Sicurezza, prestazioni e post-quantum: OpenSSL 3.5.0, fwupd 2.0.8 e IPFire 2.29 alzano il livello

La sicurezza informatica nel 2025 vede un’accelerazione significativa grazie all’introduzione di nuove tecnologie crittografiche e aggiornamenti strategici in progetti open source fondamentali. OpenSSL 3.5.0, fwupd 2.0.8 e IPFire 2.29 Core Update 193 introducono miglioramenti che rafforzano l’intero stack di sicurezza e aggiornamento dei sistemi Linux-oriented, con un occhio attento alle minacce future, comprese quelle provenienti da potenziali computer quantistici.

OpenSSL 3.5.0: nuova crittografia e supporto per QUIC server-side

OpenSSL, la libreria crittografica più adottata al mondo, raggiunge la versione 3.5.0 e introduce una serie di funzionalità strategiche che aggiornano profondamente la sua architettura.

Tra i cambiamenti più rilevanti:

• Il cifrario predefinito per le applicazioni req, cms e smime passa da des-ede3-cbc a aes-256-cbc, garantendo una maggiore sicurezza per default.
• La lista di gruppi supportati per TLS privilegia ora quelli ibridi post-quantum, rimuovendo quelli ormai obsoleti.
• I keyshares TLS offerti di default includono X25519MLKEM768 e X25519, puntando verso un’architettura compatibile con la crittografia post-quantum.

Sul fronte delle nuove funzionalità, spiccano:

• Il supporto per QUIC lato server secondo RFC 9000, abilitando l’adozione su larga scala di protocolli a bassa latenza in ambienti crittografati.
• L’integrazione di algoritmi post-quantum come ML-KEM, ML-DSA e SLH-DSA.
• Il supporto per EVP_SKEY, oggetti opachi per chiavi simmetriche, che migliorano la gestione sicura delle chiavi.
• Il supporto per stack QUIC di terze parti, incluso 0-RTT.
• Due nuove opzioni di configurazione: no-tls-deprecated-ec per disabilitare gruppi TLS deprecati secondo RFC8422, ed enable-fips-jitter per usare fonti di entropia derivate dal JITTER nel modulo FIPS.

Un problema noto riguarda l’uso della funzione SSL_accept, che non avanza correttamente l’handshake SSL su oggetti derivati da SSL_accept_connection, richiedendo l’uso alternativo di SSL_do_handshake. Il problema verrà corretto nella release 3.5.1.

fwupd 2.0.8: aggiornamenti UEFI migliorati e maggiore affidabilità

Il progetto fwupd, usato per l’aggiornamento del firmware nei sistemi Linux, rilascia la versione 2.0.8 che include nuove funzionalità chiave e numerose correzioni di bug critici.

Tra le principali novità:

• Aggiunta di due nuovi plugin per aggiornare la UEFI Signature Database (db) e la KEK.
• Introdotto un nuovo attributo HSI per la UEFI db, migliorando la diagnostica.

Nel dettaglio, i bug corretti migliorano la stabilità, compatibilità e sicurezza:

• Maggiore attenzione nel fallback a versioni emulate.
• Corretto un warning critico durante l’enumerazione di DTH135K0C.
• Aggiunto supporto per valore segment 0 nel parser immagini ccgx-dmc.
• Evitati prompt in modalità --json, migliorando l’uso in ambienti automatizzati.
• Corretto l’accesso a /sys/firmware/efi/efivars che veniva richiesto in scrittura.

fwupd 2.0.8 migliora anche la compatibilità con architetture non standard e semplifica il supporto a sistemi che utilizzano lo shim loader, riducendo le incompatibilità con versioni legacy della UEFI.

IPFire 2.29 Core Update 193: VPN post-quantum, prestazioni ottimizzate e toolchain aggiornata

Il sistema operativo IPFire, noto firewall open source basato su Linux, rilascia la versione 2.29 Core Update 193, puntando su sicurezza post-quantum, aggiornamenti critici del sistema base e nuove funzionalità VPN avanzate.

La novità principale è l’introduzione del supporto a ML-KEM, un algoritmo di key exchange resistente ai computer quantistici, ora utilizzato di default nelle VPN IPsec in combinazione con Curve448, Curve25519, RSA-4096 e RSA-3072.

Questa combinazione garantisce la compatibilità con sistemi legacy mantenendo un livello elevato di sicurezza per i tunnel VPN di nuova generazione.

Viene aggiornata anche la lista di cifrari predefiniti per le VPN:

• Preferenza a AES-256 in modalità GCM o CBC.
• ChaCha20-Poly1305 incluso per compatibilità mobile.
• AES-128 rimosso per motivi di sicurezza, essendo considerato oggi meno robusto.

Sul fronte delle prestazioni, IPFire adotta:

• glibc 2.41 e Binutils 2.44, fondamentali per una toolchain moderna e performante.
• Aggiornamenti massivi a componenti chiave come Apache 2.4.63, BIND 9.20.6, vim 9.1.1153, strongSwan 6.0.0, zstd 1.5.7 e molti altri.

Particolarmente rilevanti sono le novità legate ai servizi di rete e DNS:

• Aggiunta di DNS-over-TLS nella lista dei servizi attivi per impostazione predefinita.
• Rimozione del feed Botnet C2 di abuse.ch, ormai obsoleto.

Tra le migliorie estetiche, vengono segnalati interventi sulla pagina dei gruppi firewall e sulla corretta gestione dei certificati IPsec, grazie alla community.

Il sistema è quindi più veloce, più sicuro e più compatibile con hardware recente e architetture moderne. Con questo aggiornamento, IPFire si conferma come una delle soluzioni più avanzate per la sicurezza di rete open source nel 2025.