OpenSSL Alternative RustIs erhält finanzielle Unterstützung von Google

Die Internet Security Research Group hat angekündigt, dass Google die Entwicklung von RustIs erheblich finanzieren wird. RustIs ist eine Alternative zu der häufig verwendeten OpenSSL-Sicherheitsbibliothek, die zahlreiche Websites und Dienste sichert und eine bessere Internetsicherheit verspricht, indem das Risiko speicherbasierter Sicherheitslücken verringert wird.

Google und ISRG Partner für RustIs Development

Die Internet Security Research Group (ISRG) ist das Entwicklungsteam hinter Let's Encrypt, einer gemeinnützigen Zertifizierungsstelle, die Hunderte Millionen Websites mit kostenlosen digitalen Zertifikaten schützt.

Verwandte Themen : So richten Sie SSL auf Ihrer Website schnell und kostenlos mit Let's Encrypt ein

Die ISRG behauptet, dass OpenSSL und seine Alternativen zwar funktionieren und dem Internet einen kritischen Dienst bieten, viele vorhandene Bibliotheken jedoch kritische Sicherheitsprobleme haben. Die Sicherheitsprobleme ergeben sich aus der Tatsache, dass die meisten SSL / TLS-Bibliotheken in Sprachen wie C geschrieben sind, die umfangreiche Unterstützung bieten, aber nicht speichersicher sind.

Hier setzt RustIs an. Rust, die Programmiersprache hinter RustIs, ist eine speichersichere Sprache. Die neue Sicherheitsimplementierung wurde von Dritten geprüft und als sicher bestätigt.

Die offizielle Ankündigung der ISRG bestätigt, dass die Internet Security Research Group mit der finanziellen Unterstützung von Google den erfahrenen Rust-Entwickler Dirkjan Ochtman beauftragt hat, einige wichtige Verbesserungen an RustIs vorzunehmen (ein Projekt, zu dem Ochtman bereits beiträgt).

Die Verbesserungen umfassen:

• Erzwingen Sie eine Richtlinie ohne Panik, um das Potenzial für undefiniertes Verhalten auszuschließen, wenn Rustls über die C-Sprachgrenze hinweg verwendet wird.
• Verbessern Sie die C-API, damit Rustls noch einfacher in vorhandene C-basierte Anwendungen integriert werden kann. Führen Sie die C-API in das Haupt-Rustls-Repository ein.
• Unterstützung für die Validierung von Zertifikaten hinzufügen, die eine IP-Adresse in der alternativen Namenserweiterung des Betreffs enthalten.
• Ermöglichen Sie die Konfiguration serverseitiger Verbindungen basierend auf Client-Eingaben.

Die Verbesserungen an RustIs sollten die Sicherheitsbibliothek für Projekte, die derzeit OpenSSL und andere alternative Bibliotheken verwenden, attraktiver machen.

Sind Speichersicherheitsfehler ein Hauptproblem?

Sie können es definitiv sein, besonders wenn sie von einem Angreifer mit ausreichendem Wissen ausgenutzt werden. Speichersicherheitsfehler wie " Use After Free" und " Out of Bounds Writing" (oder " Reading" ) können zu Datenbeschädigung, Datenverlust und vielem mehr führen.

Verwandte Themen: Gründe, warum Ihre Site ein SSL-Zertifikat benötigt

Laut ISRG waren oder sind zwischen 60 und 70 Prozent der Sicherheitslücken, die iOS und macOS betreffen, in den letzten Jahren Sicherheitslücken im Speicher. Microsoft schätzt, dass 70 Prozent der Sicherheitslücken mit der Speichersicherheit zusammenhängen, während Google schätzt, dass 90 Prozent der Android-Sicherheitslücken Probleme mit der Speichersicherheit haben.

Programmiersprachen wie C und C ++ werden nicht verschwinden. Sie sind tief verwurzelt und ein wesentlicher Bestandteil vieler Dienstleistungen. Indem wir Projekte wie RustIs aktualisieren und attraktiver gestalten, können wir ältere Probleme mit diesen Programmiersprachen beheben.