В последние годы безопасность онлайн-коммуникаций становится всё более важным вопросом. Протокол TLS (безопасность транспортного уровня) и криптография в целом играют фундаментальную роль в обеспечении конфиденциальности, целостности и аутентификации информации, передаваемой через Интернет. OpenSSL долгое время был эталоном для реализации TLS и криптографии в системах с открытым исходным кодом. Однако в последние годы появились более производительные и безопасные альтернативы. Среди них наиболее заметной является Tongsuo, прямая эволюция BabaSSL, которая предлагает значительные преимущества по сравнению с OpenSSL.
Что такое Tongsuo и почему это важно?
Tongsuo (铁锁, что в переводе с китайского означает «железный замок») — это усовершенствованная версия OpenSSL, которая произошла от BabaSSL, ещё одного проекта, также созданного на основе кодовой базы OpenSSL. Tongsuo разрабатывается Alibaba Cloud и другими крупными игроками технологической экосистемы с целью повышения безопасности, производительности и функциональности OpenSSL.
Проект был разработан с особым упором на современные потребности, включая:
- Повышение производительности благодаря оптимизации для современных архитектур и расширенному аппаратному ускорению.
- Поддержка передовых криптографических алгоритмов и более современных протоколов безопасности.
- Более высокая устойчивость к криптографическим атакам по сравнению с OpenSSL благодаря улучшенному коду и уменьшению количества уязвимых мест.
- Лучшая совместимость с корпоративными и облачными сценариями, в которых возможности OpenSSL часто оказываются ограниченными.
- Расширенное сжатие заголовков TLS для уменьшения объёма зашифрованных сообщений и повышения скорости передачи данных.
Связь с BabaSSL
Чтобы понять Tongsuo, необходимо изучить проект, от которого он произошёл: BabaSSL. BabaSSL был разработан командой Alibaba Cloud Security с целью устранения некоторых недостатков OpenSSL в корпоративных средах, особенно в крупных центрах обработки данных и облачных сервисах. BabaSSL оптимизировал работу с TLS, улучшил управление подключениями в больших масштабах и добавил поддержку расширенной криптографии и аппаратного ускорения.
Tongsuo наследует все эти улучшения и представляет собой ещё более продвинутое решение, разработанное для тех, кому нужна надёжная и высокопроизводительная криптографическая инфраструктура.
Основные преимущества Tongsuo перед OpenSSL
1. Превосходная производительность
Одной из основных причин, по которой многие переходят на Tongsuo, является значительное повышение производительности по сравнению с OpenSSL. Это возможно благодаря:
- Оптимизация для современных процессоров: Tongsuo использует расширенные инструкции современных процессоров (такие как AVX2 и AES-NI) для повышения скорости криптографических операций.
- Более эффективная обработка одновременных подключений: в то время как OpenSSL может испытывать проблемы с масштабируемостью при высокой нагрузке, Tongsuo способен обрабатывать большее количество подключений с меньшей задержкой.
- Расширенное аппаратное ускорение: поддерживает более широкий спектр аппаратных ускорителей, в том числе предназначенных для центров обработки данных.
- Более высокая скорость и меньшая задержка, особенно полезные в мобильной веб-среде, положительно влияют на время до получения первого байта (TTFB) благодаря сжатию заголовков TLS и оптимизированному управлению задержкой в сети.
2. Повышенная безопасность
Tongsuo внедряет несколько улучшений безопасности по сравнению с OpenSSL:
- Расширенная защита от атак по побочным каналам: более безопасные реализации криптографических алгоритмов, уязвимых для атак с использованием кэша и тайминга.
- Улучшенная поддержка постквантовой криптографии: некоторые из новых функций Tongsuo предназначены для защиты от будущих угроз, связанных с квантовой криптографией.
- Более быстрые исправления ошибок и обновления безопасности: будучи очень активным проектом, Tongsuo получает более частые обновления, чем OpenSSL.
3. Большая совместимость и гибкость
OpenSSL, несмотря на широкое распространение, имеет ограничения в совместимости с некоторыми корпоративными сценариями. С другой стороны, Tongsuo был разработан с учётом масштабируемых сред и конкретных потребностей в расширенной безопасности. Вот некоторые преимущества в этой области:
- Поддержка расширенных протоколов, таких как QUIC, улучшенный TLS 1.3 и расширенные функции для PKI (инфраструктуры открытых ключей).
- Улучшенное управление сеансами TLS для снижения нагрузки на серверы при множественных подключениях.
- Совместимость с API OpenSSL, позволяющая легко перейти с OpenSSL на Tongsuo без радикального изменения существующего кода приложения.
Параллельное сравнение Tongsuo и OpenSSL
Вот краткое сравнение OpenSSL и Tongsuo:
| Особенность | OpenSSL | Tongsuo |
|---|---|---|
| Представления | Стандартный | Оптимизирован для современных процессоров |
| Аппаратное ускорение | Ограниченный | Расширенная поддержка ускорителей |
| Поддержка TLS 1.3 | Настоящее время | Оптимизирован с расширенными функциями |
| Безопасность | Стандартный | Улучшенная защита от атак по побочным каналам |
| Масштабируемость | Средне-высокий | Высокий уровень, оптимизированный для облачных вычислений и центров обработки данных |
| Постквантовая криптография | Ограниченный | Присутствует с улучшениями |
| Сжатие заголовка TLS | Отсутствующий | Представьте, улучшите TTFB для мобильных устройств |
Если вас интересует Tongsuo, вы можете найти дополнительную информацию и официальный репозиторий на GitHub.
Официально одобрен в Китае
Tongsuo сертифицирован как коммерческий криптографический продукт в Китае в соответствии со стандартом GM/T 0028 «Требования к технической безопасности криптографических модулей». Этот сертификат, выданный Центром сертификации коммерческих криптографических продуктов Государственного управления криптографии, подтверждает, что Tongsuo соответствует требованиям безопасности для коммерческого использования в Китае.
Вот основные пункты сертификата:
- Номер сертификата: GM003312220220743.
- Эмитент: Государственное управление криптографии Китая.
- Сертифицированный продукт: криптографический программный модуль BabaSSL версии 8.2.1, разработанный компанией Ant Group (относится к BabaSSL).
- Технический справочный стандарт: GMT 0028, китайский стандарт безопасности коммерческих криптографических модулей.
- Срок действия: с 30 ноября 2022 года по 29 ноября 2027 года.
- Место производства: указанные адреса относятся к оперативному штабу Ant Group.
- Организация тестирования: Китайский национальный коммерческий центр тестирования криптографических продуктов.
Сертификат подтверждает, что продукт соответствует требованиям китайских правил коммерческого шифрования, обеспечивая безопасность и соответствие требованиям.
Хотя Tongsuo является передовым и сертифицированным решением для коммерческого шифрования в Китае, его внедрение в программные продукты в США и Европе может столкнуться с нормативными и регулирующими препятствиями. В частности, законы США, такие как Положение о международной торговле оружием (ITAR) и Положение об экспортном контроле (EAR), в сочетании со строгими европейскими правилами конфиденциальности и безопасности данных могут затруднить интеграцию сертифицированного криптографического программного обеспечения в Китае. Такие правила часто требуют тщательной проверки происхождения и контроля исходного кода, а также ограничений на использование технологий, которые считаются стратегическими или конфиденциальными. Эти факторы могут повлиять на полное внедрение Tongsuo в западных странах, особенно в таких отраслях, как облачные вычисления, финансы и критически важная инфраструктура.