Alfonso Maruccia

S2n, il nuovo TLS di Amazon

Il colosso dell'e-commerce presenta un nuovo progetto software, un implementazione open source del protocollo TLS pensata per ridurre al minimo il codice superfluo e quindi la superficie di attacco per i cybercriminali

Roma - Amazon ha sviluppato s2n, una libreria open source progettata per implementare le parti essenziali del protocollo TLS per le comunicazioni cifrate su Web (HTTPS) e lasciare fuori dalla porta il codice accessorio. L'obiettivo, prevedibilmente, è di rendere più facile i test e il controllo da parte della community oltre a complicare sensibilmente il lavoro (sporco) dei cybercriminali.

Gli sviluppatori di S2n hanno seguito un approccio diametralmente opposto a quello che ha portato a OpenSSL, dice Amazon, con quest'ultima libreria che rappresenta lo standard di fatto nell'implementazione delle comunicazioni sicure ma che, come gli ultimi mesi e anni dimostrano, presta il fianco a gravi rischi di sicurezza di portata globale.

OpenSSL contiene tutto e il contrario di tutto, prosegue Amazon, e delle 500mila righe di codice che ne costituiscono i sorgenti 70mila servono solo per il protocollo TLS. Per contro, s2n occupa al momento appena 6mila righe ed è ovviamente più facile da verificare con procedure di auditing esterne.
Vista la sua semplicità, s2n non è pensato per sostituire completamente OpenSSL quanto piuttosto per fornire un'alternativa sicura per i server che già adottano il protocollo TLS: la compatibilità dovrebbe essere più che garantita vista la standardizzazione della suddetta tecnologia TLS.

Amazon dice di voler integrare s2n su "svariati" servizi AWS (Amazon Web Services) nel corso dei prossimi mesi, mentre per gli usi esterni il codice e la relativa documentazione sono stati messi a disposizione della community su GitHub.

Alfonso Maruccia
Notizie collegate
  • SicurezzaOpenSSL, update col brividoL'atteso aggiornamento della tanto chiacchierata libreria SSL open source faceva temere una falla potenzialmente devastante. L'allarme è rientrato: il baco si limita a mandare in crash i server
5 Commenti alla Notizia S2n, il nuovo TLS di Amazon
Ordina