OpenSSL首次中国行:看互联网安全背后的中国力量

日期: 2017-10-11 作者:张程程 来源:TechTarget中国

OpenSSL是互联网加密传输的核心基础组件,当前互联网安全传输的大部分场景(如HTTPS)均得益于这一全球化的开源项目。在2014年“HeartBleed”(“心脏出血”)事件爆发之前,可能很多人对OpenSSL并没有太多关注,这一事件的爆发足见计算机和互联网对OpenSSL的依赖程度。实际上当时导致事故的安全漏洞已发现了有一段时间,但在起初并未受到足够重视,而OpenSSL部署规模那么大、影响范围那么广,却没有得到充足的保障,这使得其隐患重重。 不管是事故爆发后外界对OpenSSL团队的批评还是鼓励,都使其发生了些许变化,团队重建、注入了新鲜血液,同时也从系统上还了之前“欠下的技术债”——……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

OpenSSL是互联网加密传输的核心基础组件,当前互联网安全传输的大部分场景(如HTTPS)均得益于这一全球化的开源项目。在2014年“HeartBleed”(“心脏出血”)事件爆发之前,可能很多人对OpenSSL并没有太多关注,这一事件的爆发足见计算机和互联网对OpenSSL的依赖程度。实际上当时导致事故的安全漏洞已发现了有一段时间,但在起初并未受到足够重视,而OpenSSL部署规模那么大、影响范围那么广,却没有得到充足的保障,这使得其隐患重重。

不管是事故爆发后外界对OpenSSL团队的批评还是鼓励,都使其发生了些许变化,团队重建、注入了新鲜血液,同时也从系统上还了之前“欠下的技术债”——重构和精简现有代码,并加入新的代码和功能,进行梳理和筛减,尽可能让内部结构变得不透明,调用应用时不调用未来数据会产生变化的应用。同时,团队拥有了新的代码库,并于此间完成了第一次重要审计。

目前,OpenSSL有14名代码贡献者(committer)和10名管委会成员,其中有8名身兼两职,社区之间以英文相互沟通,且以电子邮件为主要方式,相对来说坚持这一项目需要克服许多困难。作为一个开源项目,OpenSSL并不以利润为先,只有真正有耐心和有兴趣的工程师才会坚持这一工作,不断对补丁进行维护,发布版本更新,让更广泛的用户能从中受益。经长时间的用户讨论,社区认为Apache2.0是目前能够用的最佳的许可体系;关于漏洞的披露,团队也在实际工作中对披露的时间进行了谨慎的权衡,以防被黑客所利用。

OpenSSL首次中国行:白山云科技在背后推动

9月18-24日,OpenSSL首次来访中国,在杭州、深圳、北京三地举办活动,与中国顶尖科技公司及开发者进行技术分享和交流。作为OpenSSL团队中国行组织方的白山云科技是OpenSSL代码贡献最多的中国企业。9月23日,白山云科技在京举办“未来密码——从互联网传输协议到后量子时代的密码学”主题交流会,来自OpenSSL团队的核心成员围绕IETF工作流程及同态加密、TLSv1.3及其在OpenSSL中的实现等议题进行分享。同时,白山云科技架构师杨洋,作为亚洲地区参与OpenSSL项目的代表人物也就其参与OpenSSL的经验进行了分享,并正式宣布白山云科技对HTTPS的全新升级。

白山云科技向OpenSSL社区投入开发力量,是对OpenSSL代码贡献最多的中国公司,杨洋本人的代码贡献在社区中排名18。另外,白山云科技也通过其他方式向OpenSSL社区做贡献,如安排OpenSSL团队中国行活动以帮助用户加强对OpenSSL的认知。目前很多互联网公司都在使用大量的开源软件来构建基础服务,这无疑反向敦促着社区打造更优化的产品。

活动中杨洋也表示,非英语国家工程师参与OpenSSL项目的主要障碍是语言,沟通尤为重要;其次OpenSSL开发是基于github,可以以此为入手点;OpenSSL的邮件列表中经常讨论技术话题和用户反馈,且OpenSSL项目尚处于不断发展壮大中,不一定要开发新功能及进行bug修复,即使从提交测试用例或者完善文档甚至修改拼写错误开始,都是融入社区的很好的途径。

白山云科技全新升级HTTPS

据杨洋介绍,白山云科技对CDN服务中HTTPS几个功能进行了全新升级,包括移动端设备使用HTTPS如何进行省电优化、对RSA多素数私钥的支持、对TLSv1.3的支持以及服务可视化。

首先,随着移动互联网的比例越来越大,移动端设备使用加密流量,对CPU资源的占用,会产生功耗问题,移动设备的功耗越大,电池用的越快。OpenSSL1.1.0开始支持ChaCha20,比传统AES性能高很多,在同等环境中整体性能提高5倍,可显著减少移动设备的功耗。此外需要注意的是,如果硬件设备如CPU有硬件加速卡,这时的硬件加速效果要高于ChaCha20,对此白山云科技通过动态选择的方式,根据客户端类型进行动态判断,如果客户端支持硬件加速会优先选择AES-GCM;如果客户端没有额外加速指令,则优先选择性能更高的ChaCha20。

其次,RFC8017中对多素数RSA进行了定义,多素数的好处在于能极大地提高RSA私钥的运算性能。在HTTPS环境中握手对于CPU的消耗是最大的,私钥最占CPU资源。在对不同数量多素数进行性能测试发现,2素数10秒运算7000多次,3素数性能提高30%,素数越多,则性能提高越大;同时密钥生成时间会更短。多素数RSA可极大缩减由HTTP向HTTPS迁移过程中的硬件开销,这种方法可以在硬件完全没有变化的情况下,仅靠软件算法的优化实现HTTPS纯握手能力的大幅度提升。当然,杨洋指出多素数也有风险存在,随着个数增多安全性会变差(即私钥被破解的可能性变高),因而建议3-4个素数是比较安全的,且用户可针对不同安全等级的业务场景来选择使用不同的私钥个数。

第三是对TLSv1.3的支持,增强握手的安全性,全握手时变成1-RTT,Session复用可以用0-RTT。白山云科技特别搭建tls13.baishancloud.com,以帮助用户测试其浏览器是否支持TLSv1.3。

最后是HTTPS的可视化运营。据杨洋表示,白山云科技所有用户的流量信息能够以可视化的形式返回给用户,用户能够清楚的了解到自己的业务在平台上的运行状况,并基于这些业务进行优化和调整数据等。

未来,白山云科技将持续对OpenSSL社区的投入和贡献,并有意将OpenSSL与中国技术用户的见面发展成常态,进一步推动OpenSSL在中国的应用和影响。

作者

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

相关推荐