Amazon phát hành module mã hóa của mã nguồn mở

Ngoc Huynh

Để giúp không xảy ra các vụ tấn công bảo mật khác xảy ra giống như năm ngoái, Amazon Web Services đã phát hành module mã hóa của mã nguồn mở để đảm bảo an toàn cho các dữ liệu nhạy cảm.

Phần mềm có tên là s2n, là một hệ thống xử lý mới của Transport Layer Security (TLS), một giao thức dành cho việc mã hóa dữ liệu. TLS là sự thừa hưởng của SSL (Secure Sockets Layer), cả TLS và SSL đều được AWS sử dụng để đảm bảo an toàn cho các dịch vụ của họ.

Các kỹ sư của AWS đã thiết kế s2n, là dạng viết tắt của signal-to-noise, các kỹ sư đã giảm thiểu số lượng code cần thiết để triển khai TLS, với hy vọng là sẽ phát hiện các lỗ hổng bảo mật dễ dàng hơn.

Library của s2n triển khai TLS bằng 6,000 dòng code, ít hơn đáng kể so với 70,000 khi triển khai TLS trong OpenSSL.

“Vốn dĩ mỗi dòng code luôn có nguy cơ bị lỗi, nhưng kích thước lớn này cũng mang lại những thử thách cho việc đánh giá xem xét code, bảo mật, hiệu suất và hiệu quả,” ông Stephen Schmidt, trưởng bộ phận bảo mật thông tin của AWS cho biết.

Ngược lại, nền tảng của code s2n mới là dễ dàng để đánh giá. “Chúng tôi đã hoàn thành 3 bài đánh giá nội bộ và các bài kiểm tra sự xâm nhập trên s2n như thường lệ.” Trong những tháng tiếp theo, AWS sẽ bắt đầu hợp nhất s2n vào các dịch vụ đám mây của riêng mình.

Trong những năm qua, nhiều lỗ hổng đã được phát hiện trong gói phần mềm mã hóa khác nhau đang triển khai TLS.

Chắc chúng ta vẫn còn nhớ đến lỗ hổng Heartbleed nổi tiếng vào tháng 4/2014, mặc dù lỗ hổng đó không phải là kết quả của việc thực hiện TLS của OpenSSL. Tuy nhiên các lỗ hổng khác đã được phát hiện với TLS trong năm qua, như POODLE, đã đặt người dùng internet vào trạng thái nguy hiểm.

Các library của s2n không phải là một sự thay thế phù hợp chính thức cho OpenSSL, ông Schmidt cảnh báo. Thay vào đó nó có thể được sử dụng để thay thế các thành phần TLS của OpenSSL, mà là một thư viện được gọi là libssl. Amazon hiện cũng đang đóng góp vào các dự án đang tiến hành của Linux Foundation để đảm bảo OpenSSL an toàn hơn.

Các library AWS sẽ là một tin vui đối với nhiều chuyên gia bảo mật và CNTT trong ngành.

Quá trình phát triển đã gặp khó khăn với các library TLS. Đến nay, đã phát hiện thư viện TLS gặp lỗi và khó để làm việc cùng- điều này không gây ngạc nhiên vì sự phức tạp và yêu cầu nghiêm ngặt về sự mã hóa.

Chia sẻ bài viết ngay

Nguồn bài viết : http://www.pcworld.com/