AWS、TLS実装ライブラリ「s2n」を公開
TLSに相次いで脆弱性が発覚した一因はプロトコルの複雑性にあるとの認識から、オープンソースで公開したs2nは小さく高速、かつシンプルな設計を目指した。
米Amazon Web Services(AWS)は6月30日、新しいTLSプロトコル実装のライブラリ「s2n」をオープンソースとして公開したと発表した。
TLSやSSLを巡っては、この1年あまりの間に「Heartbleed」「FREAK」「Logjam」などと呼ばれる深刻な脆弱性が相次いで発覚し、開発者や担当者が対応に追われてきた。AWSでは「こうした展開によってセキュリティは向上したものの、ソフトウェアの更新や証明書の入れ替えといった時間のかかる作業が必要になった」と指摘する。
その一因は、TLSプロトコルが非常に複雑なことにあるとAWSは解説する。オープンソースのSSL/TLS実装ライブラリ「OpenSSL」には50万行ものコードが含まれていて、そのうち少なくとも7万行がTLSの処理に関連している。必然的にエラーが発生する危険が高くなるだけでなく、コード監査やセキュリティ検査、パフォーマンスや効率性の問題にもつながっているという。
s2nではこうした問題に対応するため、小さく高速、かつシンプルな設計を目指した。ほとんど使われないオプションや拡張機能の実装を避けることによって、コードの行数を約6000行に縮小。これによってセキュリティ検査も簡単になり、既にs2nに対して3回の社外セキュリティ検査や侵入テストを完了したと説明している。
AWSでは今後数カ月で複数のサービスにs2nの導入を開始する。ユーザー側のアプリケーションに変更を加える必要はなく、全ての相互運用性は保たれると説明している。
s2nのソースコードなどは、Apache Software License 2.0のもとでGitHubで公開された。ただ、s2nはOpenSSLの代替を意図するものではないとAWSは強調し、「今後もLinux FoundationのCore Infrastructure Initiativeを通じてOpenSSLのサポートに貢献する」と表明している。
関連記事
- TLSに脆弱性「Logjam」発覚、主要ブラウザやメールサーバに影響
「FREAK」と同様、1990年代の米国の暗号輸出規制に起因する脆弱性が新たに発覚した。 - 「常時SSL」の疑問に答えよう、どうすればできるか
「常時SSL」化はもはや避けられないと思うが、まだ疑問に思う人は多いようだ。「常時SSL」に対応するための“方法”を示す。 - TLSの普及へサーバ証明書を無料発行、MozillaやCiscoが認証局を創設
「Let's Encrypt」のサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるようにする。 - Google、TLS/SSLトラフィックのセキュリティテストツールを公開
オープンソースで公開された「nogotofail」ではTLS/SSL実装に関する既知の脆弱性や設定ミスをチェックできる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.