Поиск по сайту:
Нет ничего, на что бы ни дерзнуло воображение человека (Лукреций).

Tongsuo — эволюция BabaSSL, которая превосходит OpenSSL

06.02.2025
Tongsuo — эволюция BabaSSL, которая превосходит OpenSSL

В последние годы безопасность онлайн-коммуникаций становится всё более важным вопросом. Протокол TLS (безопасность транспортного уровня) и криптография в целом играют фундаментальную роль в обеспечении конфиденциальности, целостности и аутентификации информации, передаваемой через Интернет. OpenSSL долгое время был эталоном для реализации TLS и криптографии в системах с открытым исходным кодом. Однако в последние годы появились более производительные и безопасные альтернативы. Среди них наиболее заметной является Tongsuo, прямая эволюция BabaSSL, которая предлагает значительные преимущества по сравнению с OpenSSL.

Что такое Tongsuo и почему это важно?

Tongsuo (铁锁, что в переводе с китайского означает «железный замок») — это усовершенствованная версия OpenSSL, которая произошла от BabaSSL, ещё одного проекта, также созданного на основе кодовой базы OpenSSL. Tongsuo разрабатывается Alibaba Cloud и другими крупными игроками технологической экосистемы с целью повышения безопасности, производительности и функциональности OpenSSL.

Проект был разработан с особым упором на современные потребности, включая:

  • Повышение производительности благодаря оптимизации для современных архитектур и расширенному аппаратному ускорению.
  • Поддержка передовых криптографических алгоритмов и более современных протоколов безопасности.
  • Более высокая устойчивость к криптографическим атакам по сравнению с OpenSSL благодаря улучшенному коду и уменьшению количества уязвимых мест.
  • Лучшая совместимость с корпоративными и облачными сценариями, в которых возможности OpenSSL часто оказываются ограниченными.
  • Расширенное сжатие заголовков TLS для уменьшения объёма зашифрованных сообщений и повышения скорости передачи данных.

 

Связь с BabaSSL

Чтобы понять Tongsuo, необходимо изучить проект, от которого он произошёл: BabaSSL. BabaSSL был разработан командой Alibaba Cloud Security с целью устранения некоторых недостатков OpenSSL в корпоративных средах, особенно в крупных центрах обработки данных и облачных сервисах. BabaSSL оптимизировал работу с TLS, улучшил управление подключениями в больших масштабах и добавил поддержку расширенной криптографии и аппаратного ускорения.

Читать  Брандмауэр IPFire в Linux готовится к поддержке Wi-Fi 7, использует постквантовую криптографию

Tongsuo наследует все эти улучшения и представляет собой ещё более продвинутое решение, разработанное для тех, кому нужна надёжная и высокопроизводительная криптографическая инфраструктура.

 

Основные преимущества Tongsuo перед OpenSSL

1. Превосходная производительность

Одной из основных причин, по которой многие переходят на Tongsuo, является значительное повышение производительности по сравнению с OpenSSL. Это возможно благодаря:

  • Оптимизация для современных процессоров: Tongsuo использует расширенные инструкции современных процессоров (такие как AVX2 и AES-NI) для повышения скорости криптографических операций.
  • Более эффективная обработка одновременных подключений: в то время как OpenSSL может испытывать проблемы с масштабируемостью при высокой нагрузке, Tongsuo способен обрабатывать большее количество подключений с меньшей задержкой.
  • Расширенное аппаратное ускорение: поддерживает более широкий спектр аппаратных ускорителей, в том числе предназначенных для центров обработки данных.
  • Более высокая скорость и меньшая задержка, особенно полезные в мобильной веб-среде, положительно влияют на время до получения первого байта (TTFB) благодаря сжатию заголовков TLS и оптимизированному управлению задержкой в сети.

 

2. Повышенная безопасность

Tongsuo внедряет несколько улучшений безопасности по сравнению с OpenSSL:

  • Расширенная защита от атак по побочным каналам: более безопасные реализации криптографических алгоритмов, уязвимых для атак с использованием кэша и тайминга.
  • Улучшенная поддержка постквантовой криптографии: некоторые из новых функций Tongsuo предназначены для защиты от будущих угроз, связанных с квантовой криптографией.
  • Более быстрые исправления ошибок и обновления безопасности: будучи очень активным проектом, Tongsuo получает более частые обновления, чем OpenSSL.
Читать  LibreSSL 4.0 дебютирует с улучшенной безопасностью и исправлениями ошибок

 

3. Большая совместимость и гибкость

OpenSSL, несмотря на широкое распространение, имеет ограничения в совместимости с некоторыми корпоративными сценариями. С другой стороны, Tongsuo был разработан с учётом масштабируемых сред и конкретных потребностей в расширенной безопасности. Вот некоторые преимущества в этой области:

  • Поддержка расширенных протоколов, таких как QUIC, улучшенный TLS 1.3 и расширенные функции для PKI (инфраструктуры открытых ключей).
  • Улучшенное управление сеансами TLS для снижения нагрузки на серверы при множественных подключениях.
  • Совместимость с API OpenSSL, позволяющая легко перейти с OpenSSL на Tongsuo без радикального изменения существующего кода приложения.

 

Параллельное сравнение Tongsuo и OpenSSL

Вот краткое сравнение OpenSSL и Tongsuo:

ОсобенностьOpenSSLTongsuo
ПредставленияСтандартныйОптимизирован для современных процессоров
Аппаратное ускорениеОграниченныйРасширенная поддержка ускорителей
Поддержка TLS 1.3Настоящее времяОптимизирован с расширенными функциями
БезопасностьСтандартныйУлучшенная защита от атак по побочным каналам
МасштабируемостьСредне-высокийВысокий уровень, оптимизированный для облачных вычислений и центров обработки данных
Постквантовая криптографияОграниченныйПрисутствует с улучшениями
Сжатие заголовка TLSОтсутствующийПредставьте, улучшите TTFB для мобильных устройств

 

Если вас интересует Tongsuo, вы можете найти дополнительную информацию и официальный репозиторий на GitHub.

 

Официально одобрен в Китае

Tongsuo сертифицирован как коммерческий криптографический продукт в Китае в соответствии со стандартом GM/T 0028 «Требования к технической безопасности криптографических модулей». Этот сертификат, выданный Центром сертификации коммерческих криптографических продуктов Государственного управления криптографии, подтверждает, что Tongsuo соответствует требованиям безопасности для коммерческого использования в Китае.

Читать  Введение в снифферы

Tongsuo — эволюция BabaSSL, которая превосходит OpenSSL

 

Вот основные пункты сертификата:

  1. Номер сертификата: GM003312220220743.
  2. Эмитент: Государственное управление криптографии Китая.
  3. Сертифицированный продукт: криптографический программный модуль BabaSSL версии 8.2.1, разработанный компанией Ant Group (относится к BabaSSL).
  4. Технический справочный стандарт: GMT 0028, китайский стандарт безопасности коммерческих криптографических модулей.
  5. Срок действия: с 30 ноября 2022 года по 29 ноября 2027 года.
  6. Место производства: указанные адреса относятся к оперативному штабу Ant Group.
  7. Организация тестирования: Китайский национальный коммерческий центр тестирования криптографических продуктов.

 

Сертификат подтверждает, что продукт соответствует требованиям китайских правил коммерческого шифрования, обеспечивая безопасность и соответствие требованиям.

Хотя Tongsuo является передовым и сертифицированным решением для коммерческого шифрования в Китае, его внедрение в программные продукты в США и Европе может столкнуться с нормативными и регулирующими препятствиями. В частности, законы США, такие как Положение о международной торговле оружием (ITAR) и Положение об экспортном контроле (EAR), в сочетании со строгими европейскими правилами конфиденциальности и безопасности данных могут затруднить интеграцию сертифицированного криптографического программного обеспечения в Китае. Такие правила часто требуют тщательной проверки происхождения и контроля исходного кода, а также ограничений на использование технологий, которые считаются стратегическими или конфиденциальными. Эти факторы могут повлиять на полное внедрение Tongsuo в западных странах, особенно в таких отраслях, как облачные вычисления, финансы и критически важная инфраструктура.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
Поделиться в соц. сетях:


0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

**ссылки nofollow

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно


Рекомендуемое
АСИК (ASIC, Application-Specific Integrated Circuit) - это интегральная схема специального…

Спасибо!

Теперь редакторы в курсе.