Amazon hat einen eigenen Ansatz zur Lösung der anhaltenden Sicherheitsprobleme von Online-Verschlüsselung nach dem Standard Transport Layer Security/Secure Socket Layer (TLS/SSL) etwa durch das verbreitete Programm OpenSSL vorgelegt. Es handelt sich um eine neue, ebenfalls quelloffene TLS-Implementierung namens Signal to Noise, kurz s2n.
Das Erbe an Erweiterungen sei es, die traditionelle quelloffene Verschlüsselungsprogramme so komplex mache, erklärt Schmidt: „OpenSSL, die De-facto-Referenzimplementierung, enthält mehr als 500.000 Zeilen Code, von denen sich mindestens 70.000 um die Verarbeitung von TLS kümmern. Naturgemäß bringt jede Codezeile ein Fehlerrisiko mit sich, aber diese Größe erschwert auch Code- und Sicherheitsüberprüfungen, behindert Leistung und Effizienz.“
Anders als diese Aussage vielleicht nahelegt, will Amazon aber nicht etwa OpenSSL ersetzen. Vielmehr beschränkt sich s2n auf die eigentliche Verschlüsselung und ersetzt somit nur eine der beiden Hauptbibliotheken von OpenSSL, nämlich libssl, die ebenfalls TLS implementiert. Es hat aber kein Äquivalent zu libcrypto, der Allzweck-Kryptografie-Library von OpenSSL. Schmidt betont zudem: „Amazon wird im Rahmen seiner Beteiligung an der Core Infrastructure Initiative der Linux Foundation OpenSSL weiter unterstützen.“
Bisher ist s2n auch bei Amazon noch gar nicht im praktischen Einsatz, es soll aber nach und nach in einige Services der Cloudsparte AWS eingehen. Nutzer und Entwickler von AWS haben dadurch keine für sie nötigen Änderungen zu befürchten. Amazons Shopping-Site wird s2n erst implementieren, wenn es sich in der Praxis bewährt hat.
Quelltext und Dokumentation, vorgeschlagene Erweiterungen und Änderungen finden sich in einem GitHub-Verzeichnis. s2n steht unter der Apache Software License 2.0.
Google hat schon vor einem Jahr einen OpenSSL-Fork namens BoringSSL angekündigt. Es will das Projekt künftig in Chromium und Android integrieren. Google wurde nach eigenen Angaben die Pflege von OpenSSL für seinen Browser und das Mobil-OS zu aufwendig. Der Internetkonzern unterstützt weiterhin OpenBSD und auch LibreSSL.
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Der digitale Wandel hat die Art und Weise verändert, wie Verbraucherrechte gehandhabt werden. Insbesondere in…
Chrome speichert Passkeys nun auch unter Windows, macOS und Linux im Google Passwortmanager. Dadurch stehen…
In einem klimatisierten Büro mag ein herkömmlicher Laptop großartig sein, aber was passiert, wenn der…
Betroffen ist derzeit offenbar nur das iPad Pro M4. Es lässt sich Berichten von Nutzern…
Die EU-Kommission kann die Entscheidung noch anfechten. Das Gericht der Europäischen Union kassiert lediglich die…
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…