写点什么

AWS 宣布全新的轻量级 TLS 实现——s2n

  • 2015-07-07
  • 本文字数:1205 字

    阅读完需:约 4 分钟

作为网络通信领域重要的安全协议, SSL 协议(Secure Sockets Layer,安全套接字层)及其升级版 TLS 协议(Transport Layer Security,传输层安全协议)一直为保证网络安全和数据完整性发挥着重要作用。这些协议位于可靠的面向连接的网络层协议和应用层协议之间,利用数据加密技术来保障互联网上数据传输的安全。然而,谷歌在 2014 年发现的 POODLE 漏洞(Padding Oracle On Downloaded Legacy Encryption vulnerability),暴露了 SSL/TLS 在安全方面的重大缺陷。由此,所有与 SSL 或 TLS 协议相关的服务都迫切需要修改安全协议,防范网络中利用该漏洞进行的攻击。近日,亚马逊 AWS 就推出了新的开源加密库 s2n ,来保证 AWS 云服务的安全。接下来,本文就对 s2n 的相关细节进行简要介绍。

TLS 协议之前为保证亚马逊 AWS 相关服务的强安全特性作出了重大贡献。所有 AWS 的 API 以及面向客户的弹性负载均衡(ELB) AWS Elastic Beanstalk Amazon CloudFront Amazon S3 Amazon RDS Amazon SES 等服务都在使用 TLS 协议。TLS 协议的重大安全漏洞给 AWS 的安全性带来了很大的威胁。在震惊之余,AWS 的安全团队开始不遗余力的进行漏洞的修补工作。该工作所面临的一个重大挑战就在于 TLS 协议本身及其可选的扩展已经变得十分复杂。以 OpenSSL 为例,其 50 万行代码中至少 7 万行代码与 TLS 相关。如果每一行代码都可能存在风险,那么针对如此大规模代码的代码审计、安全审核等将十分具有挑战性。为了简化 TLS 实现并保证强加密特性,ASW 实现了一种新的开源 TLS 协议——s2n。

s2n 为“Signal to noise”的简写,其寓意在于就是把有意义的信号变成看起来像是随机噪声的加密过程。在设计之初,s2n 项目充分吸取了之前的教训,以简单化作为优先追求的目标。因此,s2n 避免了很少使用的选项和插件的实现,仅用 6000 行左右代码就完成了协议的编写工作,实现了小巧、快速库的目标。审阅 s2n 由此也变得简单了很多。目前,AWS 已经完成了 3 次额外的安全评估和渗透测试。s2n 项目也已经开源,并放置在 GitHub 中。

在接下来数月,AWS 将开始把 s2n 集成到若干 AWS 服务中。由于 s2n 已经实现了之前 TLS 中用户所使用的所有功能,修改后的 ASW 服务并不需要用户应用程序的任何改变,而且修改前后具有互操作性。此外,在 s2n 与 OpenSSL 的关系方面。OpenSSL 包含了两个库——“libssl”实现了 TLS;“libcrypto”则是一个通用的密码库。S2n 只能算和其中之一的“libssl”库类似。因此,s2n 并不会替代 OpenSSL,且 AWS 也会继续为 OpenSSL 提供支持。


感谢徐川对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

立即免费注册 AWS 账号,获得 12 个月免费套餐:点击注册

有云计算问题?立刻联系 AWS 云计算专家:立即联系

2015-07-07 09:253058
用户头像

发布了 268 篇内容, 共 133.6 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

Alibaba内网“疯狂”传阅的P8开源出的SpringBoot入门到进阶小册

Java spring 微服务 Spring Boot 框架

【Python实战】Python采集热搜数据

BROKEN

三周年连更

2023-05-03:给你一棵 二叉树 的根节点 root ,树中有 n 个节点 每个节点都可以被分配一个从 1 到 n 且互不相同的值 另给你一个长度为 m 的数组 queries 你必须在树上执行

福大大架构师每日一题

Go 算法 福大大

https和http有什么区别?

海拥(haiyong.site)

三周年连更

面试官:一千万的数据,你是怎么查询的?

“双智天花板”闪耀鹏城,问界M5智驾版深圳首场尊享品鉴会成功举办

极客天地

如何使用nobelium 1小时快速搭建你的私人博客

黑微狗‮‮

Blog nobelium

公开下载 | 300页《Java面试宝典》,收藏近万,多位翰林院成员推荐

Java你猿哥

Java MySQL spring 面试 ssm

一文了解 Zebec Labs 投资的 Coral Finance,空投计划或在不久推出

股市老人

三种常用的以太网端口链路类型:Access、Hybrid和Trunk

wljslmz

网络 三周年连更

云原生技术实践营「微服务X消息队列专场」

阿里巴巴云原生

阿里云 微服务 云原生 消息队列

什么是数据库分片?

Java架构历程

Java 数据库 三周年连更

AI 作画火了,如何用 Serverless 函数计算部署 Stable Diffusion?

阿里巴巴云原生

阿里云 Serverless 云原生 AIGC

新手如何学习挖漏洞?看这篇就够了【网络安全】

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 漏洞挖掘

分布式事务的21种武器 - 5

俞凡

架构 云原生

一文了解获得 Zebec Labs 投资的 Coral Finance,空投计划或在不久推出

西柚子

GitHub爆赞!阿里P9架构师的JDK源码笔记也太强了!

Java 源码 jdk 高并发

查询最新汽车新闻资讯

DS小龙哥

三周年连更

声网 Token 鉴权机制,以及常见的问题

声网

爆赞!GitHub上久经不衰的经典教程:Springboot精髓参考指南手册

Java spring 微服务 Spring Boot 框架

ZooKeeper 避坑指南: ZooKeeper 3.6.4 版本 BUG 导致的数据不一致问题

阿里巴巴云原生

zookeeper 阿里云 开源 云原生

KubeVela 稳定性及可扩展性评估

阿里巴巴云原生

阿里云 开源 云原生 KubeVela

【web 开发】PHP 特殊的对象引用 "$this"(62)

迷彩

php 面向对象 this指针 三周年连更

Mac M1 安装SD不折腾版本

IT蜗壳-Tango

三周年连更

一文看懂:StopWatch 源码解读

后台技术汇

三周年连更

针对容器层的五种攻击手段

穿过生命散发芬芳

容器安全 三周年连更

五张图带你看透Redis数据结构

K8s 安全是云安全的未来

HummerCloud

Kubernetes k8s

C++智能指针和内存管理:使用指南和技巧

小万哥

c++ 后端 开发 内存管理 智能指针

AWS宣布全新的轻量级TLS实现——s2n_安全_张天雷_InfoQ精选文章