OpenSSL首次中国行:看互联网安全背后的中国力量

日期:2017-10-12作者:张程程

【TechTarget中国原创】

OpenSSL是互联网加密传输的核心基础组件,当前互联网安全传输的大部分场景(如HTTPS)均得益于这一全球化的开源项目。在2014年“HeartBleed”(“心脏出血”)事件爆发之前,可能很多人对OpenSSL并没有太多关注,这一事件的爆发足见计算机和互联网对OpenSSL的依赖程度。实际上当时导致事故的安全漏洞已发现了有一段时间,但在起初并未受到足够重视,而OpenSSL部署规模那么大、影响范围那么广,却没有得到充足的保障,这使得其隐患重重。

不管是事故爆发后外界对OpenSSL团队的批评还是鼓励,都使其发生了些许变化,团队重建、注入了新鲜血液,同时也从系统上还了之前“欠下的技术债”——重构和精简现有代码,并加入新的代码和功能,进行梳理和筛减,尽可能让内部结构变得不透明,调用应用时不调用未来数据会产生变化的应用。同时,团队拥有了新的代码库,并于此间完成了第一次重要审计。

目前,OpenSSL有14名代码贡献者(committer)和10名管委会成员,其中有8名身兼两职,社区之间以英文相互沟通,且以电子邮件为主要方式,相对来说坚持这一项目需要克服许多困难。作为一个开源项目,OpenSSL并不以利润为先,只有真正有耐心和有兴趣的工程师才会坚持这一工作,不断对补丁进行维护,发布版本更新,让更广泛的用户能从中受益。经长时间的用户讨论,社区认为Apache2.0是目前能够用的最佳的许可体系;关于漏洞的披露,团队也在实际工作中对披露的时间进行了谨慎的权衡,以防被黑客所利用。

OpenSSL首次中国行:白山云科技在背后推动

9月18-24日,OpenSSL首次来访中国,在杭州、深圳、北京三地举办活动,与中国顶尖科技公司及开发者进行技术分享和交流。作为OpenSSL团队中国行组织方的白山云科技是OpenSSL代码贡献最多的中国企业。9月23日,白山云科技在京举办“未来密码——从互联网传输协议到后量子时代的密码学”主题交流会,来自OpenSSL团队的核心成员围绕IETF工作流程及同态加密、TLSv1.3及其在OpenSSL中的实现等议题进行分享。同时,白山云科技架构师杨洋,作为亚洲地区参与OpenSSL项目的代表人物也就其参与OpenSSL的经验进行了分享,并正式宣布白山云科技对HTTPS的全新升级。

白山云科技向OpenSSL社区投入开发力量,是对OpenSSL代码贡献最多的中国公司,杨洋本人的代码贡献在社区中排名18。另外,白山云科技也通过其他方式向OpenSSL社区做贡献,如安排OpenSSL团队中国行活动以帮助用户加强对OpenSSL的认知。目前很多互联网公司都在使用大量的开源软件来构建基础服务,这无疑反向敦促着社区打造更优化的产品。

活动中杨洋也表示,非英语国家工程师参与OpenSSL项目的主要障碍是语言,沟通尤为重要;其次OpenSSL开发是基于github,可以以此为入手点;OpenSSL的邮件列表中经常讨论技术话题和用户反馈,且OpenSSL项目尚处于不断发展壮大中,不一定要开发新功能及进行bug修复,即使从提交测试用例或者完善文档甚至修改拼写错误开始,都是融入社区的很好的途径。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

开源安全工具>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

OpenSSL是互联网加密传输的核心基础组件,当前互联网安全传输的大部分场景(如HTTPS)均得益于这一全球化的开源项目。在2014年“HeartBleed”(“心脏出血”)事件爆发之前,可能很多人对OpenSSL并没有太多关注,这一事件的爆发足见计算机和互联网对OpenSSL的依赖程度。实际上当时导致事故的安全漏洞已发现了有一段时间,但在起初并未受到足够重视,而OpenSSL部署规模那么大、影响范围那么广,却没有得到充足的保障,这使得其隐患重重。

不管是事故爆发后外界对OpenSSL团队的批评还是鼓励,都使其发生了些许变化,团队重建、注入了新鲜血液,同时也从系统上还了之前“欠下的技术债”——重构和精简现有代码,并加入新的代码和功能,进行梳理和筛减,尽可能让内部结构变得不透明,调用应用时不调用未来数据会产生变化的应用。同时,团队拥有了新的代码库,并于此间完成了第一次重要审计。

目前,OpenSSL有14名代码贡献者(committer)和10名管委会成员,其中有8名身兼两职,社区之间以英文相互沟通,且以电子邮件为主要方式,相对来说坚持这一项目需要克服许多困难。作为一个开源项目,OpenSSL并不以利润为先,只有真正有耐心和有兴趣的工程师才会坚持这一工作,不断对补丁进行维护,发布版本更新,让更广泛的用户能从中受益。经长时间的用户讨论,社区认为Apache2.0是目前能够用的最佳的许可体系;关于漏洞的披露,团队也在实际工作中对披露的时间进行了谨慎的权衡,以防被黑客所利用。

OpenSSL首次中国行:白山云科技在背后推动

9月18-24日,OpenSSL首次来访中国,在杭州、深圳、北京三地举办活动,与中国顶尖科技公司及开发者进行技术分享和交流。作为OpenSSL团队中国行组织方的白山云科技是OpenSSL代码贡献最多的中国企业。9月23日,白山云科技在京举办“未来密码——从互联网传输协议到后量子时代的密码学”主题交流会,来自OpenSSL团队的核心成员围绕IETF工作流程及同态加密、TLSv1.3及其在OpenSSL中的实现等议题进行分享。同时,白山云科技架构师杨洋,作为亚洲地区参与OpenSSL项目的代表人物也就其参与OpenSSL的经验进行了分享,并正式宣布白山云科技对HTTPS的全新升级。

白山云科技向OpenSSL社区投入开发力量,是对OpenSSL代码贡献最多的中国公司,杨洋本人的代码贡献在社区中排名18。另外,白山云科技也通过其他方式向OpenSSL社区做贡献,如安排OpenSSL团队中国行活动以帮助用户加强对OpenSSL的认知。目前很多互联网公司都在使用大量的开源软件来构建基础服务,这无疑反向敦促着社区打造更优化的产品。

活动中杨洋也表示,非英语国家工程师参与OpenSSL项目的主要障碍是语言,沟通尤为重要;其次OpenSSL开发是基于github,可以以此为入手点;OpenSSL的邮件列表中经常讨论技术话题和用户反馈,且OpenSSL项目尚处于不断发展壮大中,不一定要开发新功能及进行bug修复,即使从提交测试用例或者完善文档甚至修改拼写错误开始,都是融入社区的很好的途径。

白山云科技全新升级HTTPS

据杨洋介绍,白山云科技对CDN服务中HTTPS几个功能进行了全新升级,包括移动端设备使用HTTPS如何进行省电优化、对RSA多素数私钥的支持、对TLSv1.3的支持以及服务可视化。

首先,随着移动互联网的比例越来越大,移动端设备使用加密流量,对CPU资源的占用,会产生功耗问题,移动设备的功耗越大,电池用的越快。OpenSSL1.1.0开始支持ChaCha20,比传统AES性能高很多,在同等环境中整体性能提高5倍,可显著减少移动设备的功耗。此外需要注意的是,如果硬件设备如CPU有硬件加速卡,这时的硬件加速效果要高于ChaCha20,对此白山云科技通过动态选择的方式,根据客户端类型进行动态判断,如果客户端支持硬件加速会优先选择AES-GCM;如果客户端没有额外加速指令,则优先选择性能更高的ChaCha20。

其次,RFC8017中对多素数RSA进行了定义,多素数的好处在于能极大地提高RSA私钥的运算性能。在HTTPS环境中握手对于CPU的消耗是最大的,私钥最占CPU资源。在对不同数量多素数进行性能测试发现,2素数10秒运算7000多次,3素数性能提高30%,素数越多,则性能提高越大;同时密钥生成时间会更短。多素数RSA可极大缩减由HTTP向HTTPS迁移过程中的硬件开销,这种方法可以在硬件完全没有变化的情况下,仅靠软件算法的优化实现HTTPS纯握手能力的大幅度提升。当然,杨洋指出多素数也有风险存在,随着个数增多安全性会变差(即私钥被破解的可能性变高),因而建议3-4个素数是比较安全的,且用户可针对不同安全等级的业务场景来选择使用不同的私钥个数。

第三是对TLSv1.3的支持,增强握手的安全性,全握手时变成1-RTT,Session复用可以用0-RTT。白山云科技特别搭建tls13.baishancloud.com,以帮助用户测试其浏览器是否支持TLSv1.3。

最后是HTTPS的可视化运营。据杨洋表示,白山云科技所有用户的流量信息能够以可视化的形式返回给用户,用户能够清楚的了解到自己的业务在平台上的运行状况,并基于这些业务进行优化和调整数据等。

未来,白山云科技将持续对OpenSSL社区的投入和贡献,并有意将OpenSSL与中国技术用户的见面发展成常态,进一步推动OpenSSL在中国的应用和影响。