Llegamos a ustedes gracias a:



Noticias

Amazon lanza módulo criptográfico de código abierto

El módulo s2n podría servir como reemplazo ligero del módulo TLS OpenSSL

[02/07/2015] Amazon Web Services, que probablemente esté salvando al mundo de otro desastre de seguridad en línea como el Heartbleed del año pasado, ha lanzado como código abierto un módulo criptográfico para asegurar los datos sensibles que pasen por Internet.

El software, el s2n, es una nueva implementación de Transport Layer Security (TLS), un protocolo para cifrar datos. El TLS es el sucesor del SSL (Secure Sockets Layer), que son ambos utilizados por Amazon para asegurar la mayoría de sus servicios.

Los ingenieros de AWS que diseñaron el s2n, que significa signal to noise, redujeron la cantidad de código que se necesita para implementar TLS, con la esperanza de que sea más sencillo localizar las potenciales vulnerabilidades de seguridad.

La librería de s2n implementa el TLS en seis mil líneas de código, una cantidad significativamente menor que las 70 mil de la implementación de TLS en OpenSSL, la implementación de facto de TLS de la actualidad.

"Naturalmente con cada línea de código existe el riesgo de error, pero el gran tamaño [de OpenSSL TLS] también representa desafíos para las auditorías de código, revisiones de seguridad, desempeño y eficiencia, escribió Stephen Schmidt, chief information security officer de AWS, en una entrada de blog que anuncia el lanzamiento de s2n.

Por el contrario, el nuevo código base de s2n es "fácil de revisar, escribió Schmidt. "Ya hemos completado tres evaluaciones de seguridad externa y pruebas de penetración en s2n, una práctica con la que continuaremos. En los próximos meses, AWS comenzará a incorporar s2n en sus propios servicios de nube.

El año pasado, se encontraron numerosas fallas en varios paquetes de software de cifrado que implementan TLS.

La famosa vulnerabilidad Heartbleed de abril del 2014 fue la más conocida de todas, aunque esa falla no fue el resultado de la implementación TLS de OpenSSL. Se han encontrado otras fallas con TLS el año pasado, como POODLE, que puso en riesgo a los usuarios de Internet.

La librería de s2n no sirve como un reemplazo completo de OpenSSL, advirtió Schmidt. Más bien, puede usarse para reemplazar solo el componente TLS de OpenSSL, que es una librería llamada libssl. Amazon también está contribuyendo actualmente con el Proyecto actual de la Linux Foundation para asegurar mejor OpenSSL.