S2n, il nuovo TLS di Amazon

Il colosso dell'e-commerce presenta un nuovo progetto software, un implementazione open source del protocollo TLS pensata per ridurre al minimo il codice superfluo e quindi la superficie di attacco per i cybercriminali
Il colosso dell'e-commerce presenta un nuovo progetto software, un implementazione open source del protocollo TLS pensata per ridurre al minimo il codice superfluo e quindi la superficie di attacco per i cybercriminali

Amazon ha sviluppato s2n , una libreria open source progettata per implementare le parti essenziali del protocollo TLS per le comunicazioni cifrate su Web (HTTPS) e lasciare fuori dalla porta il codice accessorio. L’obiettivo, prevedibilmente, è di rendere più facile i test e il controllo da parte della community oltre a complicare sensibilmente il lavoro (sporco) dei cybercriminali.

Gli sviluppatori di S2n hanno seguito un approccio diametralmente opposto a quello che ha portato a OpenSSL, dice Amazon, con quest’ultima libreria che rappresenta lo standard di fatto nell’implementazione delle comunicazioni sicure ma che, come gli ultimi mesi e anni dimostrano , presta il fianco a gravi rischi di sicurezza di portata globale.

OpenSSL contiene tutto e il contrario di tutto, prosegue Amazon, e delle 500mila righe di codice che ne costituiscono i sorgenti 70mila servono solo per il protocollo TLS. Per contro, s2n occupa al momento appena 6mila righe ed è ovviamente più facile da verificare con procedure di auditing esterne.

Vista la sua semplicità, s2n non è pensato per sostituire completamente OpenSSL quanto piuttosto per fornire un’alternativa sicura per i server che già adottano il protocollo TLS: la compatibilità dovrebbe essere più che garantita vista la standardizzazione della suddetta tecnologia TLS.

Amazon dice di voler integrare s2n su “svariati” servizi AWS (Amazon Web Services) nel corso dei prossimi mesi, mentre per gli usi esterni il codice e la relativa documentazione sono stati messi a disposizione della community su GitHub .

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

03 07 2015
Link copiato negli appunti