zurück zum Artikel

Amazon stellt mit s2n eigene SSL-Bibliothek vor

Fabian A. Scherschel
s2n

Amazon hat eine eigene Umsetzung des SSL/TLS-Protokolls vorgestellt. Durch eine Beschränkung aufs Wesentliche soll der Quellcode der Bibliothek übersichtlicher und sicherer sein.

Nach dem Heartbleed-Debakel [1] und jahrzehntelanger Monokultur schießen nun neue SSL/TLS-Bibliotheken wie Pilze aus regennassem Boden. Auch Amazon will die Verbindungssicherheit seiner Cloud-Dienste künftig in die eigene Hand nehmen. Die Firma betont allerdings, dass ihr Projekt namens s2n [2] keine Alternative zu OpenSSL darstellt – dessen Entwickler will man weiterhin über die Core Infrastructure Initiative [3] der Linux Foundation unterstützen. Man will lediglich die TLS-Implementierung (libssl) ersetzen, die ebenfalls enthaltene allgemeine Krypto-Bibliothek (libcrypto) will Amazon weiterhin benutzen.

Weniger Code, mehr Sicherheit

Der Plan der Amazon-Entwickler erinnert an das LibreSSL-Projekt der OpenBSD-Community [4]: Die Umsetzung des TLS-Protokolls soll aufs Wesentliche reduziert und so vereinfacht werden. Das macht den Quellcode übersichtlicher und es soll einfacher sein, dort Fehler frühzeitig zu finden. Dazu kappen die Amazon-Leute, ähnlich wie die OpenBSD-Entwickler, die Unterstützung für wenig oder gar nicht genutzte TLS-Funktionen. Daraus resultiert bei Amazon eine Bibliothek, die etwas mehr als 6000 Zeilen Code schlank ist.

Der s2n-Quellcode wurde laut Amazon bereits dreimal von unabhängigen Experten überprüft und man will auch weiterhin solche Untersuchungen durchführen lassen. In den nächsten Monaten sollen die AWS-Server schleichend auf die neue Bibliothek umgestellt werden. Für Kunden ändere sich dabei nichts, da s2n alle signifikanten Teile der TLS-Spezifikation unterstütze, so Amazon.

Die neue Bibliothek befindet sich unter der Apache-2.0-Lizenz und der Quellcode ist auf GitHub zu finden [5]. Der Name steht übrigens für "Signal to Noise [6]", eine Anspielung darauf, dass die Signale der Webseiten-Besucher durch gute Verschlüsselung im Rauschen untergehen sollen. (fab [7])

URL dieses Artikels:
https://www.heise.de/-2732243

Links in diesem Artikel:
[1] http://www.heise.de/thema/Heartbleed
[2] https://blogs.aws.amazon.com/security/post/TxCKZM94ST1S6Y/Introducing-s2n-a
[3] https://www.heise.de/news/Linux-Foundation-finanziert-OpenSSL-Entwickler-2213936.html
[4] https://www.heise.de/news/Verschluesselung-LibreSSL-wird-fluegge-2260042.html
[5] https://github.com/awslabs/s2n
[6] https://de.wikipedia.org/wiki/Signal-Rausch-Verh%C3%A4ltnis
[7] mailto:contact@fab.industries

Copyright © 2015 Heise Medien