写点什么

AWS 宣布全新的轻量级 TLS 实现——s2n

  • 2015-07-07
  • 本文字数:1205 字

    阅读完需:约 4 分钟

作为网络通信领域重要的安全协议, SSL 协议(Secure Sockets Layer,安全套接字层)及其升级版 TLS 协议(Transport Layer Security,传输层安全协议)一直为保证网络安全和数据完整性发挥着重要作用。这些协议位于可靠的面向连接的网络层协议和应用层协议之间,利用数据加密技术来保障互联网上数据传输的安全。然而,谷歌在 2014 年发现的 POODLE 漏洞(Padding Oracle On Downloaded Legacy Encryption vulnerability),暴露了 SSL/TLS 在安全方面的重大缺陷。由此,所有与 SSL 或 TLS 协议相关的服务都迫切需要修改安全协议,防范网络中利用该漏洞进行的攻击。近日,亚马逊 AWS 就推出了新的开源加密库 s2n ,来保证 AWS 云服务的安全。接下来,本文就对 s2n 的相关细节进行简要介绍。

TLS 协议之前为保证亚马逊 AWS 相关服务的强安全特性作出了重大贡献。所有 AWS 的 API 以及面向客户的弹性负载均衡(ELB) AWS Elastic Beanstalk Amazon CloudFront Amazon S3 Amazon RDS Amazon SES 等服务都在使用 TLS 协议。TLS 协议的重大安全漏洞给 AWS 的安全性带来了很大的威胁。在震惊之余,AWS 的安全团队开始不遗余力的进行漏洞的修补工作。该工作所面临的一个重大挑战就在于 TLS 协议本身及其可选的扩展已经变得十分复杂。以 OpenSSL 为例,其 50 万行代码中至少 7 万行代码与 TLS 相关。如果每一行代码都可能存在风险,那么针对如此大规模代码的代码审计、安全审核等将十分具有挑战性。为了简化 TLS 实现并保证强加密特性,ASW 实现了一种新的开源 TLS 协议——s2n。

s2n 为“Signal to noise”的简写,其寓意在于就是把有意义的信号变成看起来像是随机噪声的加密过程。在设计之初,s2n 项目充分吸取了之前的教训,以简单化作为优先追求的目标。因此,s2n 避免了很少使用的选项和插件的实现,仅用 6000 行左右代码就完成了协议的编写工作,实现了小巧、快速库的目标。审阅 s2n 由此也变得简单了很多。目前,AWS 已经完成了 3 次额外的安全评估和渗透测试。s2n 项目也已经开源,并放置在 GitHub 中。

在接下来数月,AWS 将开始把 s2n 集成到若干 AWS 服务中。由于 s2n 已经实现了之前 TLS 中用户所使用的所有功能,修改后的 ASW 服务并不需要用户应用程序的任何改变,而且修改前后具有互操作性。此外,在 s2n 与 OpenSSL 的关系方面。OpenSSL 包含了两个库——“libssl”实现了 TLS;“libcrypto”则是一个通用的密码库。S2n 只能算和其中之一的“libssl”库类似。因此,s2n 并不会替代 OpenSSL,且 AWS 也会继续为 OpenSSL 提供支持。


感谢徐川对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

立即免费注册 AWS 账号,获得 12 个月免费套餐:点击注册

有云计算问题?立刻联系 AWS 云计算专家:立即联系

2015-07-07 09:252569
用户头像

发布了 268 篇内容, 共 120.9 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

蜕变中的B站:给各大自媒体平台带来那些启发

石头IT视角

GitHub标星90K+ 的算法小抄,全球排名 36,到底有多牛逼?

Java 程序员 架构 面试

不同阶段考证有哪些作用

耳东@Erdong

7月日更 考试

架构实战营模块1作业

技术是伙伴

智能运维(AIOps)系列之二:什么是人工智能

micklongen

人工智能 AIOPS 智能运维

模块一作业

Mr.He

架构实战营

模块一作业

乌黑の云

树莓派/PC实现实时摄像头数据共享—最优方法(搭建网络摄像头)

不脱发的程序猿

树莓派 网络摄像头 视频通信

草稿20210707

cc=o

架构实战营 草稿

使用perf解决JDK8U小版本升级后性能下降的问题

毕昇JDK社区

树莓派/PC实现实时摄像头数据共享(Python—picamera)

不脱发的程序猿

Python 树莓派 视频通信 picamera

非对称风险:你需要为行为结果负责吗?

石云升

读书笔记 风险 7月日更

数仓开发人员经常说的 ETL、ELT,又有什么区别

奔向架构师

大数据 数据架构 话题讨论 7月日更

介绍一款Hive数仓可视化神器、Dbeaver的配置和使用方法

白程序员的自习室

7月日更 Dbeaver 数仓工具 数据库客户端

yidong

方白

[架构实战营一期]模块一作业

trymorewang

#架构实战营

iOS如何提升,首先得知自己的处境!(欢迎评论留言)

程序员 编程之路 IT技能 iOS 知识体系

树莓派/PC实现实时摄像头数据共享(Python—OpenCV)

不脱发的程序猿

Python 树莓派 OpenCV 视频通信

分析一下微信朋友圈的高性能复杂度

NewBranSTONE

架构实战营

架构训练营 模块一作业

小卷儿

被面试官问的Android问题难倒了,3面直接拿到offer

欢喜学安卓

android 程序员 面试 移动开发

靠着这份Java面试题跟答案,我从 14K 变成了 28K!

Java 程序员 架构 面试

模块一作业

MX

5G云计算齐发力,云电脑的春天到了吗?

脑极体

模块一:

kk

#架构实战营

架构实战营第一期--模块一作业

clay

架构实战营

微信业务架构图 & 学生管理系统

gawaine

架构实战营

架构实战营作业-模块1

袁小芬

架构实战营

🏆(不要错过!)【CI/CD技术专题】「Jenkins实战系列」(2)Jenkins实现自动化部署+自动化合并其他分支

洛神灬殇

jenkins CI/CD 7月日更

如何轻松启动Docker服务

DisonTangor

Docker

架构训练营模块一作业

高铎

架构实战营

AWS宣布全新的轻量级TLS实现——s2n_安全_张天雷_InfoQ精选文章