Amazon stellt mit s2n eigene SSL-Bibliothek vor

Nach dem Heartbleed-Debakel und jahrzehntelanger Monokultur schießen nun neue SSL/TLS-Bibliotheken wie Pilze aus regennassem Boden. Auch Amazon will die Verbindungssicherheit seiner Cloud-Dienste künftig in die eigene Hand nehmen. Die Firma betont allerdings, dass ihr Projekt namens s2n keine Alternative zu OpenSSL darstellt – dessen Entwickler will man weiterhin über die Core Infrastructure Initiative der Linux Foundation unterstützen. Man will lediglich die TLS-Implementierung (libssl) ersetzen, die ebenfalls enthaltene allgemeine Krypto-Bibliothek (libcrypto) will Amazon weiterhin benutzen.

Weniger Code, mehr Sicherheit

Der Plan der Amazon-Entwickler erinnert an das LibreSSL-Projekt der OpenBSD-Community: Die Umsetzung des TLS-Protokolls soll aufs Wesentliche reduziert und so vereinfacht werden. Das macht den Quellcode übersichtlicher und es soll einfacher sein, dort Fehler frühzeitig zu finden. Dazu kappen die Amazon-Leute, ähnlich wie die OpenBSD-Entwickler, die Unterstützung für wenig oder gar nicht genutzte TLS-Funktionen. Daraus resultiert bei Amazon eine Bibliothek, die etwas mehr als 6000 Zeilen Code schlank ist.

Der s2n-Quellcode wurde laut Amazon bereits dreimal von unabhängigen Experten überprüft und man will auch weiterhin solche Untersuchungen durchführen lassen. In den nächsten Monaten sollen die AWS-Server schleichend auf die neue Bibliothek umgestellt werden. Für Kunden ändere sich dabei nichts, da s2n alle signifikanten Teile der TLS-Spezifikation unterstütze, so Amazon.

Apache-Lizenz

Die neue Bibliothek befindet sich unter der Apache-2.0-Lizenz und der Quellcode ist auf GitHub zu finden. Der Name steht übrigens für "Signal to Noise", eine Anspielung darauf, dass die Signale der Webseiten-Besucher durch gute Verschlüsselung im Rauschen untergehen sollen. (fab)