摘要:日前,亚马逊网络服务公司发布了名为“SignaltoNoise”(s2n)的开源加密工具,该工具是对之前流行的TLS协议SSL的优化。 |
亚马逊公司首席信息官斯蒂芬•施密特表示,在过去18个月里,业界人士认为TLS协议不太可靠,且过于复杂。
而s2n设计简单,它包含大约6000行代码,而不是需要7000行代码来处理TLS协议。
“在未来几个月里,我们将开始把s2n整合到几项亚马逊服务当中。TLS是一种标准的协议,s2n已经在提供我们所使用的功能,因此不需要对自己的应用做任何变更,一切都可以保持可交互操作性,”Schmidt在博文中写道。
亚马逊公司将加密作为AmazonS3、CloudFront和弹性负载均衡等服务的一个组成部分。亚马逊公司长期以来都支持数据隐私和安全事业,并对美国情报部门进行的大规模监控项目表示强烈反对。而加密正是这些努力必不可或缺的一个组成部分。
按照设计,s2n应该具有小型、快速和简单的特性。在s2n编写的过程中,其重点放在了可审查性方面,以避免代码库当中的重大错误数年不会被发现的情况,这包括臭名昭著的Heartbleed和FREAK漏洞等。
s2n相当于OpenSSL的“libsssl”库,但会避免采用很少会用到的选项和扩展名。最好的一点是,它可以通过ApacheSoftwareLicense2.0而获得,这意味着感兴趣的用户可以将s2n加密功能融入他们自己的产品当中。
“我们已经发现,检视s2n是一件更为容易的事情;我们已经在s2n上完成了三个外部安全评估和渗透测试,并且我们将继续这样做。”Schmidt写道。
该项目的GitHub页面写道,至少有两个渗透测试是由商用供应商完成,并表示在未来几年中,亚马逊公司将努力支持s2n的发展。
编辑:Harris