Amazon Web Services, que probablemente esté salvando al mundo de otro desastre de seguridad en línea como el Heartbleed del año pasado, ha lanzado como código abierto un módulo criptográfico para asegurar los datos sensibles que pasen por Internet.
El software, el s2n, es una nueva implementación de Transport Layer Security (TLS), un protocolo para cifrar datos. El TLS es el sucesor del SSL (Secure Sockets Layer), que son ambos utilizados por Amazon para asegurar la mayoría de sus servicios.
Los ingenieros de AWS que diseñaron el s2n, que significa signal to noise, redujeron la cantidad de código que se necesita para implementar TLS, con la esperanza de que sea más sencillo localizar las potenciales vulnerabilidades de seguridad.
La librería de s2n implementa el TLS en seis mil líneas de código, una cantidad significativamente menor que las 70 mil de la implementación de TLS en OpenSSL, la implementación de facto de TLS de la actualidad.
“Naturalmente con cada línea de código existe el riesgo de error, pero el gran tamaño [de OpenSSL TLS] también representa desafíos para las auditorías de código, revisiones de seguridad, desempeño y eficiencia”, escribió Stephen Schmidt, chief information security officer de AWS, en una entrada de blog que anuncia el lanzamiento de s2n.
Por el contrario, el nuevo código base de s2n es “fácil de revisar”, escribió Schmidt. “Ya hemos completado tres evaluaciones de seguridad externa y pruebas de penetración en s2n, una práctica con la que continuaremos”. En los próximos meses, AWS comenzará a incorporar s2n en sus propios servicios de nube.
