Η Amazon Web Services μόλις κυκλοφόρησε μια νέα, βιβλιοθήκη ανοικτού κώδικα (open source library) που υλοποιεί κρυπτογράφηση TLS χρησιμοποιώντας πολύ λιγότερο κώδικα από την υπάρχουσα βιβλιοθήκη της OpenSSL.
Οι προγραμματιστές την ονόμασαν s2n από το “signal to noise,” και περιλαμβάνει λίγες παραπάνω από 6.000 γραμμές κώδικα C.
Συγκριτικά, να αναφέρουμε ότι η OpenSSL αποτελείται από περισσότερες από 500.000 γραμμές κώδικα, και οι 70.000 περίπου από αυτές απαρτίζουν την κρυπτογράφηση TLS.
“Φυσικά με κάθε γραμμή του κώδικα υπάρχει κίνδυνος σφάλματος, αλλά οι κώδικες μεγάλου μεγέθους παρουσιάζουν επίσης περισσότερες προκλήσεις ελέγχων, επιθεωρήσεων ασφάλειας, απόδοσης και αποτελεσματικότητας”, δήλωσε ο υπεύθυνος ασφάλειας της AWS επικεφαλής Stephen Schmidt στη δημοσίευση ανακοίνωσης του s2n στο blog της εταιρείας.
Με την ανάπτυξη μιας νέας εφαρμογής TLS από το μηδέν σε μια πιο λιτή βιβλιοθήκη που αφήνει απ ‘έξω “επεκτάσεις και επιλογές που χρησιμοποιούνται σπάνια,” η AWS ελπίζει ότι θα είναι πιο εύκολο να εντοπιστούν τρωτά σημεία στον κώδικα.
Ο Schmidt δήλωσε ότι η AWS είχε τρέξει τρεις αξιολογήσεις ασφάλειας και δοκιμές διείσδυσης του s2n, από εξωτερικούς συνεργάτες, και σχεδιάζει να συνεχίσει αυτή την πρακτική.
Η ασφάλεια του OpenSSL Project είναι υπό στενή παρακολούθηση από το 2014, όταν αποκαλύφθηκε ότι το σφάλμα Heartbleed που επιτρέπει σε hackers να υποκλέψουν τις δήθεν ασφαλείς επικοινωνίες.
Αμέσως μετά την την αποκάλυψη της ευπάθειας Heartbleed, εντοπίστηκαν αρκετά άλλα κρίσιμα θέματα στην OpenSSL και ορισμένοι προγραμματιστές ανέφεραν ότι η βιβλιοθήκη είναι τόσο μεγάλη και πολύπλοκη που δεν ξέρουν από που να ξεκινήσουν.
Η βιβλιοθήκη s2n δεν είναι ο αντικαταστάτης της OpenSSL. Τρέχει μόνο το πρωτόκολλο TLS και όχι τους αλγόριθμους που χειρίζονται την πραγματική κρυπτογράφηση. Ο Schmidt ανέφερε ότι η Amazon θα συνεχίσει να στηρίζει την ανάπτυξη της βιβλιοθήκης κρυπτογραφίας OpenSSL μέσω της πρωτοβουλίας βασικών υποδομών του Ιδρύματος Linux.
Κατά τη διάρκεια των επόμενων μηνών, ωστόσο, η Amazon σχεδιάζει να χρησιμοποιήσει s2n αντί της OpenSSL για την κρυπτογράφηση TLS σε διάφορες υπηρεσίες της AWS.
Η Amazon Web Services έχει κυκλοφορήσει την s2n με άδεια ανοικτού κώδικα Apache 2.0 και ο κώδικας είναι διαθέσιμος στο GitHub.
