Software::Netzwerk
Amazon stellt neue TLS-Implementierung vor
Der Online-Händler und Service-Provider Amazon hat mit s2n eine neue Implementierung des TLS-Protokolls vorgestellt. Die Beschränkung auf die wesentlichen Funktionen und eine übersichtliche Strukturierung sollen die neue Lösung einfacher und sicherer machen.
amazonblogs.com
Der
katastrophale Fehler »Heartbleed« in OpenSSL im April 2014 führte zu diversen schnellen Reaktionen, aber auch langfristigen Änderungen. Eine davon war
die Gründung der Core Infrastructure Initiative durch die Linux Foundation. Diese stellt einen Fonds von einigen Millionen US-Dollar bereit, der Projekte unterstützen soll, die für das ganze Internet oder ganze Industrien kritisch sind und dringend Geld benötigen. Zudem entstand als Reaktion auf den Heartbleed-Fehler
das LibreSSL-Projekt. Die OpenBSD-Entwickler sahen sich den OpenSSL-Code näher an und erachteten ihn als unwartbar, in weiten Teilen obsolet und unnötig kompliziert. LibreSSL sollte dies alles ändern und ein vollständig kompatibler Ersatz für OpenSSL werden.
Einen ähnlichen Ansatz wie das LibreSSL-Projekt verfolgt nun auch Amazon. Auch der Online-Händer will die Sicherheit der eigenen Dienste künftig verbessern und vertraut nicht mehr ausschließlich auf Drittbibliotheken. So hat Amazon mit dem s2n-Projekt eine Alternative zu OpenSSL vorgestellt, betont aber auch, dass diese keinesfalls einen Ersatz der Bibliothek darstelle. Vielmehr plane Amazon, die TLS-Implementierung zu überarbeiten, die libcrypto-Bibliothek aber weiterhin zu nutzen. Auch die Unterstützung der Core Infrastructure Initiative soll seitens Amazon fortgesetzt werden.
Laut Amazons Ankündigung lag der Fokus von s2n auf einer schlanken, schnellen und überschaubaren Bibliothek. Die daraus entstandene Umsetzung des TLS-Protokolls konzentriert sich deshalb auf das Wesentliche, was den Quellcode nicht nur übersichtlicher, sondern auch wartbarer mache. Unter anderem wurden dazu – ähnlich dem LibreSSL-Projekt - Funktionen von TSL entfernt, die kaum oder nicht mehr genutzt werden. Daraus ist eine Bibliothek entstanden, die etwas mehr als 6.000 Zeilen Code lang ist.
Die neue Bibliothek steht unter der Bedingung der Apache-2.0-Lizenz. Der Quellcode wurde laut Aussage des Unternehmens etliche Male durch unabhängige Experten auf seine Sicherheit und Angriffsvektoren überprüft und kann ab sofort auf den Servern von GitHub gefunden werden.
){kind=small}
