Amazon lanza s2n, su propia implementación TLS/SSL

Negocios
1 6 No hay comentarios

Amazon s2n, o Signal to Noise, es la alternativa de la compañía a propuestas como OpenSSL, que hace un año desató el escándalo de Heartbleed.

Amazon ha anunciado el lanzamiento de un módulo de cifrado de código abierto que asegure los datos que viajan por Internet. Explica la compañía en un post que TLS (Transport Layer Security), sucesor de SSL (Secure Sockets Layer), es el protocolo de cifrado utilizado en la mayoría de los servicios de Amazon Web Services (AWS), pero en el que se han detectado fallos “más serios de lo pensado”.

Asegura también que el protocolo SSL se ha vuelto cada vez más complejo, como demuestra el hecho de que OpenSSL, la implementación TLS de referencia en el mercado, tenga más de medio millón de líneas de código, todo un reto para las auditorías, revisiones de seguridad e incluso el propio rendimiento del protocolo.

Llegados a este punto Amazon ha optado lanzar s2n (Signal to Noise), su propia implementación TLS de código abierto que no sólo simplifica sino que asegura que el cifrado está accesible para quien lo quiera.

“s2n es una librería que ha sido diseñada para ser pequeña, rápida, con simplicidad como prioridad. s2n evita implementar opciones y extensiones raramente utilizadas, y hoy cuenta con poco más de 6.000 líneas de código”, explica la compañía.

Por el momento s2n no ha sido desplegado en el software de Amazon. Comenzará a ser integrado en varios servicios de AWS, cuyos usuarios y desarrolladores no tendrán que cambiar la manera en que utilizan o desarrollan en AWS, dice la compañía, asegurando que la transición será transparente.

También aclara Amazon que s2n no intenta reemplazar a OpenSSL, una implementación con la que la compañía sigue comprometida.

Vulnerabilidades en SSL/TLS

En los últimos años se han detectado varios fallos –algunos de enorme impacto, en varias implementaciones SSL/TLS, que proporcionan comunicaciones seguras y privadas en Internet.

Quizá la más recordada fuer la vulnerabilidad conocida como Heartbleed. Descubierta en abril de 2014 afectaba a OpenSSL y permitía el robo de información protegida en condicionas

POODLE, acrónimo de Padding Oracle On Downgraded Legacy Encryption, ha sido otra vulnerabilidad conocida en SSL 3.0 y explotada a través de un ataque man-in-th-middle, que también puso en riesgo los datos de los usuarios.


Leer la biografía del autor  Ocultar la biografía del autor