Amazon legt neue TLS-Implementierung vor

Amazon hat einen eigenen Ansatz zur Lösung der anhaltenden Sicherheitsprobleme von Online-Verschlüsselung nach dem Standard Transport Layer Security/Secure Socket Layer (TLS/SSL) etwa durch das verbreitete Programm OpenSSL vorgelegt. Es handelt sich um eine neue, ebenfalls quelloffene TLS-Implementierung namens Signal to Noise, kurz s2n.

Die Präsentation durch Stephen Schmidt, Amazons Vizepräsident für Security Engineering, hebt entsprechend mit OpenSSL-Lücken wie Heartbleed, Freak und Logjam an, die zu beheben für Amazon eine Reihe „Zeit verschwendender Betriebsvorgänge wie Software-Upgrades und Zertifikatswechsel“ bedeutet habe. Daher entwickelte man s2n mit der Zielsetzung, eine „kleine, schnelle und an erster Stelle einfache“ Bibliothek zu schaffen. Auf selten genutzte Optionen und Erweiterungen habe man verzichtet, weshalb s2n sich auf 6000 Zeilen Code beschränke.

Das Erbe an Erweiterungen sei es, die traditionelle quelloffene Verschlüsselungsprogramme so komplex mache, erklärt Schmidt: „OpenSSL, die De-facto-Referenzimplementierung, enthält mehr als 500.000 Zeilen Code, von denen sich mindestens 70.000 um die Verarbeitung von TLS kümmern. Naturgemäß bringt jede Codezeile ein Fehlerrisiko mit sich, aber diese Größe erschwert auch Code- und Sicherheitsüberprüfungen, behindert Leistung und Effizienz.“

Anders als diese Aussage vielleicht nahelegt, will Amazon aber nicht etwa OpenSSL ersetzen. Vielmehr beschränkt sich s2n auf die eigentliche Verschlüsselung und ersetzt somit nur eine der beiden Hauptbibliotheken von OpenSSL, nämlich libssl, die ebenfalls TLS implementiert. Es hat aber kein Äquivalent zu libcrypto, der Allzweck-Kryptografie-Library von OpenSSL. Schmidt betont zudem: „Amazon wird im Rahmen seiner Beteiligung an der Core Infrastructure Initiative der Linux Foundation OpenSSL weiter unterstützen.“

Bisher ist s2n auch bei Amazon noch gar nicht im praktischen Einsatz, es soll aber nach und nach in einige Services der Cloudsparte AWS eingehen. Nutzer und Entwickler von AWS haben dadurch keine für sie nötigen Änderungen zu befürchten. Amazons Shopping-Site wird s2n erst implementieren, wenn es sich in der Praxis bewährt hat.

Quelltext und Dokumentation, vorgeschlagene Erweiterungen und Änderungen finden sich in einem GitHub-Verzeichnis. s2n steht unter der Apache Software License 2.0.

Google hat schon vor einem Jahr einen OpenSSL-Fork namens BoringSSL angekündigt. Es will das Projekt künftig in Chromium und Android integrieren. Google wurde nach eigenen Angaben die Pflege von OpenSSL für seinen Browser und das Mobil-OS zu aufwendig. Der Internetkonzern unterstützt weiterhin OpenBSD und auch LibreSSL.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]