2 Febbraio 2025

Tongsuo, l’evoluzione di BabaSSL, che surclassa OpenSSL

Tongsuo, evoluzione di BabaSSL, offre prestazioni crittografiche avanzate e certificazioni cinesi, ma potrebbe affrontare sfide normative nell’integrazione con software statunitensi ed europei.

Tongsuo

Negli ultimi anni, la sicurezza delle comunicazioni online è diventata un tema sempre più centrale. Il protocollo TLS (Transport Layer Security) e la crittografia in generale giocano un ruolo fondamentale nel garantire la riservatezza, l’integrità e l’autenticazione delle informazioni trasmesse su internet. OpenSSL è stato per lungo tempo il punto di riferimento per l’implementazione di TLS e crittografia nei sistemi open source. Tuttavia, negli ultimi anni sono emerse alternative più performanti e sicure. Tra queste, spicca Tongsuo, l’evoluzione diretta di BabaSSL, che offre vantaggi significativi rispetto a OpenSSL.

Cos’è Tongsuo e perché è importante

Tongsuo (铁锁, che significa “lucchetto di ferro” in cinese) è un fork avanzato di OpenSSL nato da BabaSSL, un altro progetto derivato a sua volta dalla base di codice di OpenSSL. Lo sviluppo di Tongsuo è guidato da Alibaba Cloud e altri attori importanti dell’ecosistema tecnologico, con l’obiettivo di migliorare la sicurezza, le prestazioni e le funzionalità offerte da OpenSSL.

Il progetto nasce con un focus specifico sulle esigenze moderne, tra cui:

  • Miglioramenti nelle prestazioni grazie a ottimizzazioni per architetture moderne e accelerazione hardware avanzata.
  • Supporto per algoritmi crittografici avanzati e protocolli di sicurezza più aggiornati.
  • Maggiore resilienza contro attacchi crittografici rispetto a OpenSSL, grazie a un codice migliorato e alla riduzione delle superfici di attacco.
  • Miglior compatibilità con scenari enterprise e cloud dove OpenSSL spesso si rivela limitato.
  • Compressione avanzata degli header TLS per ridurre il peso delle comunicazioni crittografate, migliorando la velocità di trasmissione.

Il legame con BabaSSL

Per comprendere Tongsuo, è essenziale esaminare il progetto da cui discende: BabaSSL. BabaSSL è stato sviluppato da Alibaba Cloud Security Team con l’obiettivo di colmare alcune lacune di OpenSSL in ambienti enterprise, in particolare nei grandi data center e nei servizi cloud. BabaSSL ha introdotto ottimizzazioni per l’uso intensivo di TLS, migliorando la gestione delle connessioni su larga scala e aggiungendo il supporto a crittografia avanzata e accelerazioni hardware.

Tongsuo eredita tutte queste migliorie e si propone come una soluzione ancora più evoluta, pensata per chi necessita di un’infrastruttura crittografica robusta e ad alte prestazioni.

I principali vantaggi di Tongsuo rispetto a OpenSSL

1. Prestazioni superiori

Uno dei motivi principali per cui molti stanno migrando verso Tongsuo è il netto miglioramento nelle prestazioni rispetto a OpenSSL. Questo è possibile grazie a:

  • Ottimizzazioni per CPU moderne: Tongsuo sfrutta istruzioni avanzate delle CPU moderne (come AVX2 e AES-NI) per migliorare la velocità delle operazioni crittografiche.
  • Migliore gestione delle connessioni simultanee: mentre OpenSSL può mostrare problemi di scalabilità in scenari di alto carico, Tongsuo riesce a gestire un numero maggiore di connessioni con una latenza ridotta.
  • Accelerazione hardware avanzata: supporta una più ampia gamma di acceleratori hardware, inclusi quelli specifici per data center.
  • Migliore velocità e minore latenza, particolarmente utile in ambito web per dispositivi mobile, con un impatto positivo sul Time To First Byte (TTFB) grazie alla compressione degli header TLS e alla gestione ottimizzata della latenza di rete.

2. Sicurezza potenziata

Tongsuo introduce diverse migliorie in termini di sicurezza rispetto a OpenSSL:

  • Protezione avanzata contro attacchi side-channel: ha implementazioni più sicure per algoritmi crittografici sensibili agli attacchi a livello di cache e di timing.
  • Supporto migliorato per crittografia post-quantum: alcune delle nuove funzionalità di Tongsuo sono state pensate per affrontare le minacce future legate alla crittografia quantistica.
  • Bugfix e patch di sicurezza più rapide: essendo un progetto molto attivo, Tongsuo beneficia di aggiornamenti più frequenti rispetto a OpenSSL.

3. Maggiore compatibilità e flessibilità

OpenSSL, per quanto diffuso, presenta limitazioni nella compatibilità con alcuni scenari enterprise. Tongsuo, invece, è stato sviluppato tenendo conto di ambienti ad alta scalabilità e con esigenze specifiche di sicurezza avanzata. Alcuni punti di forza in questo ambito sono:

  • Supporto per protocolli avanzati come QUIC, TLS 1.3 migliorato e funzioni estese per le PKI (Public Key Infrastructure).
  • Miglior gestione delle sessioni TLS per ridurre il carico sui server durante connessioni multiple.
  • Compatibilità con API OpenSSL, facilitando la migrazione da OpenSSL a Tongsuo senza modificare radicalmente il codice delle applicazioni esistenti.

Confronto diretto tra Tongsuo e OpenSSL

Ecco un confronto sintetico tra OpenSSL e Tongsuo:

Caratteristica OpenSSL Tongsuo
Prestazioni Standard Ottimizzate per CPU moderne
Accelerazione hardware Limitata Supporto avanzato per acceleratori
Supporto TLS 1.3 Presente Ottimizzato con funzioni avanzate
Sicurezza Standard Protezione migliorata contro attacchi side-channel
Scalabilità Medio-alta Elevata, ottimizzata per cloud e data center
Crittografia post-quantum Limitata Presente con miglioramenti
Compressione header TLS Assente Presente, migliora TTFB per mobile

Se sei interessato a Tongsuo, puoi trovare maggiori informazioni e il repository ufficiale su GitHub.

Approvato ufficialmente in Cina

Tongsuo ha ottenuto la certificazione come prodotto crittografico commerciale in Cina, conforme allo standard GM/T 0028 “Requisiti tecnici di sicurezza per i moduli crittografici”. Questa certificazione, rilasciata dal Centro di Certificazione dei Prodotti Crittografici Commerciali dell’Ufficio per la Gestione della Crittografia Statale, attesta che Tongsuo soddisfa i requisiti di sicurezza richiesti per l’uso commerciale in Cina.

validation-android

Ecco i punti principali del certificato:

  1. Numero del certificato: GM003312220220743.
  2. Emittente: Ufficio per la gestione della crittografia statale della Cina.
  3. Prodotto certificato: Il modulo software crittografico BabaSSL, versione 8.2.1, prodotto da Ant Group (collegato a BabaSSL).
  4. Norma tecnica di riferimento: GMT 0028, uno standard cinese per la sicurezza dei moduli crittografici commerciali.
  5. Validità: Dal 30 novembre 2022 al 29 novembre 2027.
  6. Luogo di produzione: Gli indirizzi specificati si riferiscono alle sedi operative di Ant Group.
  7. Organizzazione di test: Centro nazionale di testing per i prodotti crittografici commerciali in Cina.

Il certificato attesta che il prodotto soddisfa i requisiti delle normative cinesi sulla crittografia per applicazioni commerciali, garantendo sicurezza e conformità.

Nonostante Tongsuo sia una soluzione avanzata e certificata in Cina per la crittografia commerciale, la sua adozione in prodotti software statunitensi ed europei potrebbe incontrare ostacoli legati a normative e regolamenti. In particolare, le leggi statunitensi, come l’International Traffic in Arms Regulations (ITAR) e il Export Administration Regulations (EAR), insieme alle stringenti normative europee sulla privacy e la sicurezza dei dati, potrebbero rendere complessa l’integrazione di un software crittografico certificato in Cina. Tali normative spesso richiedono verifiche rigorose sulla provenienza e sul controllo del codice sorgente, oltre a limitazioni sull’utilizzo di tecnologie considerate strategiche o sensibili. Questi fattori potrebbero influire sulla piena adozione di Tongsuo in ambienti occidentali, specialmente in settori come il cloud computing, la finanza e le infrastrutture critiche.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

Torna in alto