Indice dei contenuti dell'articolo:
Negli ultimi anni, la sicurezza delle comunicazioni online è diventata un tema sempre più centrale. Il protocollo TLS (Transport Layer Security) e la crittografia in generale giocano un ruolo fondamentale nel garantire la riservatezza, l’integrità e l’autenticazione delle informazioni trasmesse su internet. OpenSSL è stato per lungo tempo il punto di riferimento per l’implementazione di TLS e crittografia nei sistemi open source. Tuttavia, negli ultimi anni sono emerse alternative più performanti e sicure. Tra queste, spicca Tongsuo, l’evoluzione diretta di BabaSSL, che offre vantaggi significativi rispetto a OpenSSL.
Cos’è Tongsuo e perché è importante
Tongsuo (铁锁, che significa “lucchetto di ferro” in cinese) è un fork avanzato di OpenSSL nato da BabaSSL, un altro progetto derivato a sua volta dalla base di codice di OpenSSL. Lo sviluppo di Tongsuo è guidato da Alibaba Cloud e altri attori importanti dell’ecosistema tecnologico, con l’obiettivo di migliorare la sicurezza, le prestazioni e le funzionalità offerte da OpenSSL.
Il progetto nasce con un focus specifico sulle esigenze moderne, tra cui:
- Miglioramenti nelle prestazioni grazie a ottimizzazioni per architetture moderne e accelerazione hardware avanzata.
- Supporto per algoritmi crittografici avanzati e protocolli di sicurezza più aggiornati.
- Maggiore resilienza contro attacchi crittografici rispetto a OpenSSL, grazie a un codice migliorato e alla riduzione delle superfici di attacco.
- Miglior compatibilità con scenari enterprise e cloud dove OpenSSL spesso si rivela limitato.
- Compressione avanzata degli header TLS per ridurre il peso delle comunicazioni crittografate, migliorando la velocità di trasmissione.
Il legame con BabaSSL
Per comprendere Tongsuo, è essenziale esaminare il progetto da cui discende: BabaSSL. BabaSSL è stato sviluppato da Alibaba Cloud Security Team con l’obiettivo di colmare alcune lacune di OpenSSL in ambienti enterprise, in particolare nei grandi data center e nei servizi cloud. BabaSSL ha introdotto ottimizzazioni per l’uso intensivo di TLS, migliorando la gestione delle connessioni su larga scala e aggiungendo il supporto a crittografia avanzata e accelerazioni hardware.
Tongsuo eredita tutte queste migliorie e si propone come una soluzione ancora più evoluta, pensata per chi necessita di un’infrastruttura crittografica robusta e ad alte prestazioni.
I principali vantaggi di Tongsuo rispetto a OpenSSL
1. Prestazioni superiori
Uno dei motivi principali per cui molti stanno migrando verso Tongsuo è il netto miglioramento nelle prestazioni rispetto a OpenSSL. Questo è possibile grazie a:
- Ottimizzazioni per CPU moderne: Tongsuo sfrutta istruzioni avanzate delle CPU moderne (come AVX2 e AES-NI) per migliorare la velocità delle operazioni crittografiche.
- Migliore gestione delle connessioni simultanee: mentre OpenSSL può mostrare problemi di scalabilità in scenari di alto carico, Tongsuo riesce a gestire un numero maggiore di connessioni con una latenza ridotta.
- Accelerazione hardware avanzata: supporta una più ampia gamma di acceleratori hardware, inclusi quelli specifici per data center.
- Migliore velocità e minore latenza, particolarmente utile in ambito web per dispositivi mobile, con un impatto positivo sul Time To First Byte (TTFB) grazie alla compressione degli header TLS e alla gestione ottimizzata della latenza di rete.
2. Sicurezza potenziata
Tongsuo introduce diverse migliorie in termini di sicurezza rispetto a OpenSSL:
- Protezione avanzata contro attacchi side-channel: ha implementazioni più sicure per algoritmi crittografici sensibili agli attacchi a livello di cache e di timing.
- Supporto migliorato per crittografia post-quantum: alcune delle nuove funzionalità di Tongsuo sono state pensate per affrontare le minacce future legate alla crittografia quantistica.
- Bugfix e patch di sicurezza più rapide: essendo un progetto molto attivo, Tongsuo beneficia di aggiornamenti più frequenti rispetto a OpenSSL.
3. Maggiore compatibilità e flessibilità
OpenSSL, per quanto diffuso, presenta limitazioni nella compatibilità con alcuni scenari enterprise. Tongsuo, invece, è stato sviluppato tenendo conto di ambienti ad alta scalabilità e con esigenze specifiche di sicurezza avanzata. Alcuni punti di forza in questo ambito sono:
- Supporto per protocolli avanzati come QUIC, TLS 1.3 migliorato e funzioni estese per le PKI (Public Key Infrastructure).
- Miglior gestione delle sessioni TLS per ridurre il carico sui server durante connessioni multiple.
- Compatibilità con API OpenSSL, facilitando la migrazione da OpenSSL a Tongsuo senza modificare radicalmente il codice delle applicazioni esistenti.
Confronto diretto tra Tongsuo e OpenSSL
Ecco un confronto sintetico tra OpenSSL e Tongsuo:
Caratteristica | OpenSSL | Tongsuo |
---|---|---|
Prestazioni | Standard | Ottimizzate per CPU moderne |
Accelerazione hardware | Limitata | Supporto avanzato per acceleratori |
Supporto TLS 1.3 | Presente | Ottimizzato con funzioni avanzate |
Sicurezza | Standard | Protezione migliorata contro attacchi side-channel |
Scalabilità | Medio-alta | Elevata, ottimizzata per cloud e data center |
Crittografia post-quantum | Limitata | Presente con miglioramenti |
Compressione header TLS | Assente | Presente, migliora TTFB per mobile |
Se sei interessato a Tongsuo, puoi trovare maggiori informazioni e il repository ufficiale su GitHub.
Approvato ufficialmente in Cina
Tongsuo ha ottenuto la certificazione come prodotto crittografico commerciale in Cina, conforme allo standard GM/T 0028 “Requisiti tecnici di sicurezza per i moduli crittografici”. Questa certificazione, rilasciata dal Centro di Certificazione dei Prodotti Crittografici Commerciali dell’Ufficio per la Gestione della Crittografia Statale, attesta che Tongsuo soddisfa i requisiti di sicurezza richiesti per l’uso commerciale in Cina.
Ecco i punti principali del certificato:
- Numero del certificato: GM003312220220743.
- Emittente: Ufficio per la gestione della crittografia statale della Cina.
- Prodotto certificato: Il modulo software crittografico BabaSSL, versione 8.2.1, prodotto da Ant Group (collegato a BabaSSL).
- Norma tecnica di riferimento: GMT 0028, uno standard cinese per la sicurezza dei moduli crittografici commerciali.
- Validità: Dal 30 novembre 2022 al 29 novembre 2027.
- Luogo di produzione: Gli indirizzi specificati si riferiscono alle sedi operative di Ant Group.
- Organizzazione di test: Centro nazionale di testing per i prodotti crittografici commerciali in Cina.
Il certificato attesta che il prodotto soddisfa i requisiti delle normative cinesi sulla crittografia per applicazioni commerciali, garantendo sicurezza e conformità.
Nonostante Tongsuo sia una soluzione avanzata e certificata in Cina per la crittografia commerciale, la sua adozione in prodotti software statunitensi ed europei potrebbe incontrare ostacoli legati a normative e regolamenti. In particolare, le leggi statunitensi, come l’International Traffic in Arms Regulations (ITAR) e il Export Administration Regulations (EAR), insieme alle stringenti normative europee sulla privacy e la sicurezza dei dati, potrebbero rendere complessa l’integrazione di un software crittografico certificato in Cina. Tali normative spesso richiedono verifiche rigorose sulla provenienza e sul controllo del codice sorgente, oltre a limitazioni sull’utilizzo di tecnologie considerate strategiche o sensibili. Questi fattori potrebbero influire sulla piena adozione di Tongsuo in ambienti occidentali, specialmente in settori come il cloud computing, la finanza e le infrastrutture critiche.