Amazon vytvoril malú open source implementáciu TLS / SSL

Značky: SSL / TLSAmazonprogramovanie

DSL.sk, 8.7.2015

Ďalšiu implementáciu protokolu TLS, Transport Layer Security, používaného pre šifrovanie mnohých aplikačných protokolov vrátane zabezpečených HTTPS web stránok vytvorila spoločnosť Amazon.

Knižnica Amazonu nesie meno s2n, znamenajúce skratku "signal to noise".

Nové implementácie protokolu TLS, v predchádzajúcich verziách označovaného SSL, začali vznikať po minuloročnom objavení vážnej zraniteľnosti Heartbleed v knižnici OpenSSL, najpoužívanejšej open source implementácii.

Svoju verziu si vyvinuli napríklad Google, pod označením BoringSSL, a tvorcovia OpenBSD, pod označením LibreSSL. Obe tieto implementácie vychádzajú z OpenSSL.

OpenSSL mala okrem konkrétnych vážnych chýb ale aj systémové problémy. Na jej vývoj a overovanie bezpečnosti neišli dostatočné prostriedky, pričom jej bezpečnostné audity sú komplikované jej prílišnou veľkosťou. Podľa Amazonu má časť OpenSSL implementujúca TLS 70 tisíc riadkov zdrojových kódov a celá knižnica implementujúca množstvo kryptografických algoritmov má 500 tisíc riadkov.

Amazon tak vytvoril výrazne menšiu implementáciu, ktorá vynecháva podporu len málo používaných rozšírení TLS. Zdrojové kódy s2n tak majú len 6 tisíc riadkov.

s2n implementuje len samotný protokol TLS / SSL, pre realizáciu kryptografických operácií a algoritmov využíva naďalej OpenSSL alebo kompatibilné knižnice.

Amazon začne svoju novú knižnicu nasadzovať v najbližších mesiacoch na vlastných službách Amazon Web Services. Keďže implementuje štandardný TLS protokol, pre používateľov služieb to nebude znamenať žiadnu zmenu.

Knižnica je zároveň k dispozícii ľubovoľným vývojárom pod open source licenciou Apache Software License 2.0, nájsť je ju možné v GitHub repozitári.


Najnovšie články:



Diskusia:

OpenSSL Od: Rado2 | Pridané: 8.7.2015 10:50 OpenSSL je neskutočný moloch, už len na skompilovanie treba nadľudské úsilie veľa googlovania Odpovedať Známka: 3.3 Hodnotiť:

Re: OpenSSL Od: sdfsdfd | Pridané: 8.7.2015 11:38 aj moj kolega vzdy strasne pixluje na vsetko, co nejde samo od seba. :-) Odpovedať Známka: 1.4 Hodnotiť:

Re: OpenSSL Od: De bol | Pridané: 8.7.2015 12:44 V idealnom svete IT vsetko ide samo od seba, a IT-ckari kopu jamy. Odpovedať Známka: 8.2 Hodnotiť:

s2n / OpenSSL Od: chrono | Pridané: 8.7.2015 11:52 Chýba informácia o tom, že na šifrovanie/dešifrovanie sa používa OpenSSL (prípadne nejaký klon tej knižnice). ;) Odpovedať Známka: 2.0 Hodnotiť:

Re: s2n / OpenSSL Od: kkkk | Pridané: 8.7.2015 19:53 Nechýba. Odpovedať Hodnotiť:

OpenSSL Od: Reg.: x x l l | Pridané: 8.7.2015 13:18 OpenSSL ma mnoho problemov, no ten najdolezitejsi je ten, ze samotni vyvojari na opravy chyb kaslu. Opravuju iba kriticke chyb, no konceptualne veci nechavaju vyhnit a radsej pridavaju na tych zahnivajucich zakladoch nove funkcionality. No a potom sa zivia komercnou podporou suvisiacou s FIPS certifikaciami. Napriklad, samotny memory alokator v OpenSSL je backdoor ako svet. Jednak nedealokuje pamat, ale reusuje uz raz pouzitu, co sa zda byt super, no na druhej strane to obfuskuje vyuzivanie pamate a znemoznuje automatizovane hladanie beznych chyb pri praci s pamatou. A to je este slaby odvar. Vacsia prdel nastava v momente, ked si clovek uvedomi, ze aj produkcna verzia OpenSSL si vie (prepisanim jedneho byte v pamati procesu) prepnut alokator do debug modu, ktory dumpuje vsetku vyuzivanu pamat do logu. Epicke... Odpovedať Známka: 6.9 Hodnotiť:

Re: OpenSSL Od: Boh1 | Pridané: 8.7.2015 14:01 A vanilkovú nemáte? Odpovedať Známka: 8.5 Hodnotiť:

Re: OpenSSL Od: adgadg | Pridané: 8.7.2015 16:34 Uplny shocker ze ludia co to robia zadarmo na to jebu a radsej zarabaju $$$. Komunisticky sen sa rozpada :-) Odpovedať Známka: 4.3 Hodnotiť:

Re: OpenSSL Od: Reg.: x x l l | Pridané: 9.7.2015 9:16 Nuz ja som ten posledny co by obhajoval vlhke komunisticke sny. V tomto pripade je ale ta informacia podstatna, pretoze jej priamym dosledkom je to, ze vyvojari na to kaslu. Ak by sa totiz pustili do vacsich konceptualnych zmien, tak im to zneplatni existujucu certifikaciu a teda by vyschol zdroj prijmu. Odpovedať Hodnotiť:

neišli :o Od reg.: mika_ | Pridané: 9.7.2015 17:36 neišli? to je nove slovo? Odpovedať Hodnotiť:

Pridať komentár