OpenSSL AlternativeRustIsがGoogleから財政的支援を受ける

Internet Security Research Groupは、GoogleがRustIsの開発に大幅な資金援助を提供すると発表しました。 RustIsは、一般的に使用されているOpenSSLセキュリティライブラリの代替手段であり、メモリベースの脆弱性への露出を減らすことで、より優れたインターネットセキュリティを提供することを約束する多数のWebサイトとサービスを保護します。

RustIs開発のためのGoogleとISRGパートナー

インターネットセキュリティ研究グループ(ISRG)は、無料のデジタル証明書で何億ものWebサイトを保護する非営利の認証局であるLet'sEncryptの開発チームです。

関連: Let'sEncryptを使用してサイトにSSLをすばやく無料でセットアップする方法

ISRGは、OpenSSLとその代替手段が機能し、インターネットに重要なサービスを提供する一方で、多くの既存のライブラリには重大なセキュリティ問題があると主張しています。セキュリティの問題は、ほとんどのSSL / TLSライブラリがCのような言語で記述されているという事実に起因しています。これは、広範なサポートがありますが、メモリセーフではありません。

そこでRustIsが登場します。RustIsの背後にあるプログラミング言語であるRustは、メモリに安全な言語です。新しいセキュリティ実装は、サードパーティによる監査と安全性の確認が行われています。

ISRGの公式発表は、Googleの財政的支援を受けて、インターネットセキュリティ研究グループが経験豊富なRust開発者Dirkjan Ochtmanと契約してRustIsにいくつかの重要な改善を加えることを確認しています(Ochtmanがすでに貢献しているプロジェクト)。

改善点は次のとおりです。

  • RustlsがC言語の境界を越えて使用される場合、未定義の動作の可能性を排除するために、パニックなしのポリシーを適用します。
  • Rustlsを既存のCベースのアプリケーションにさらに簡単に統合できるように、CAPIを改善します。 CAPIをメインのRustlsリポジトリにマージします。
  • サブジェクト代替名拡張子にIPアドレスを含む証明書を検証するためのサポートを追加します。
  • クライアント入力に基づいてサーバー側接続を構成できるようにします。

RustIの改善により、セキュリティライブラリは、現在OpenSSLやその他の代替ライブラリを使用しているプロジェクトにとってより魅力的な提案になるはずです。

メモリ安全性のバグは大きな問題ですか?

特に十分な知識を持つ攻撃者によって悪用された場合、それらは間違いなく可能です。 Use AfterFreeOutof Bounds Writing (またはReading )などのメモリ安全性のバグにより、データの破損やデータの損失などが発生する可能性があります。

関連:サイトにSSL証明書が必要な理由

ISRGよると、近年iOSとmacOSに影響を与える脆弱性の60〜70%は、メモリ安全性のバグであるか、それに関連しています。 Microsoftは、脆弱性の70%がメモリの安全性に関連していると推定していますが、Googleは、Androidの脆弱性の90%がメモリの安全性の問題であると推定しています。

CやC ++のようなプログラミング言語がなくなることはありません。それらは根付いており、多くのサービスの重要な部分です。しかし、RustIsのようなプロジェクトをアップグレードし、それらをより魅力的にすることで、これらのプログラミング言語のレガシー問題に対処できます。