Table des matières de l'article :
Ces dernières années, la sécurité des communications en ligne est devenue une question de plus en plus centrale. Le protocole TLS (Transport Layer Security) et la cryptographie en général jouent un rôle fondamental pour garantir la confidentialité, l'intégrité et l'authentification des informations transmises sur Internet. OpenSSL est depuis longtemps la référence absolue pour la mise en œuvre de TLS et du cryptage dans les systèmes open source. Cependant, ces dernières années, des alternatives plus efficaces et plus sûres ont émergé. Parmi ceux-ci, l’un se distingue Tongsuo, l'évolution directe de BabaSSL, qui offre des avantages significatifs par rapport à OpenSSL.
Qu'est-ce que le Tongsuo et pourquoi est-il important ?
Tongsuo (铁锁, qui signifie « serrure de fer » en chinois) est un fork avancé d'OpenSSL né de BabaSSL, un autre projet lui-même dérivé de la base de code d'OpenSSL. Le développement de Tongsuo est piloté par Alibaba Cloud et d'autres acteurs majeurs de l'écosystème technologique, dans le but d'améliorer la sécurité, les performances et les fonctionnalités offertes par OpenSSL.
Le projet est né avec une attention particulière portée aux besoins modernes, notamment :
- Amélioration des performances grâce aux optimisations pour les architectures modernes et à l'accélération matérielle avancée.
- Prise en charge des algorithmes cryptographiques avancés et des protocoles de sécurité plus récents.
- Une plus grande résilience face aux attaques cryptographiques par rapport à OpenSSL, grâce à un code amélioré et des surfaces d'attaque réduites.
- Meilleure compatibilité avec les scénarios d'entreprise et de cloud où OpenSSL s'avère souvent limité.
- Compression d'en-tête TLS avancée pour réduire le poids des communications cryptées, améliorant ainsi la vitesse de transmission.
La connexion avec BabaSSL
Pour comprendre Tongsuo, il est essentiel d’examiner le projet dont il est issu : BabaSSL. BabaSSL a été développé par l'équipe de sécurité du cloud d'Alibaba dans le but de combler certaines des lacunes d'OpenSSL dans les environnements d'entreprise, en particulier dans les grands centres de données et les services cloud. BabaSSL a introduit des optimisations pour une utilisation intensive de TLS, améliorant la gestion des connexions à grande échelle et ajoutant la prise en charge de la cryptographie avancée et de l'accélération matérielle.
Tongsuo hérite de toutes ces améliorations et se présente comme une solution encore plus avancée, conçue pour ceux qui ont besoin d'une infrastructure cryptographique robuste et performante.
Les principaux avantages de Tongsuo par rapport à OpenSSL
1. Des performances supérieures
L’une des principales raisons pour lesquelles de nombreuses personnes migrent vers Tongsuo est l’amélioration spectaculaire des performances par rapport à OpenSSL. Ceci est possible grâce à :
- Optimisations pour les processeurs modernes:Tongsuo tire parti des instructions avancées des processeurs modernes (tels que AVX2 et AES-NI) pour améliorer la vitesse des opérations cryptographiques.
- Meilleure gestion des connexions simultanées:Bien qu'OpenSSL puisse présenter des problèmes d'évolutivité dans des scénarios de charge élevée, Tongsuo est capable de gérer un plus grand nombre de connexions avec une latence réduite.
- Accélération matérielle avancée: Prend en charge une gamme plus large d’accélérateurs matériels, y compris ceux spécifiques aux centres de données.
- Meilleure vitesse et latence plus faible, particulièrement utile dans l'environnement Web mobile, avec un impact positif sur le Time To First Byte (TTFB) grâce à la compression d'en-tête TLS et à la gestion optimisée de la latence du réseau.
2. Sécurité renforcée
Tongsuo introduit plusieurs améliorations de sécurité par rapport à OpenSSL :
- Protection avancée contre les attaques par canal auxiliaire: dispose d'implémentations plus sécurisées pour les algorithmes cryptographiques qui sont sensibles aux attaques de cache et de synchronisation.
- Prise en charge améliorée de la cryptographie post-quantique:Certaines des nouvelles fonctionnalités de Tongsuo sont conçues pour répondre aux futures menaces liées à la cryptographie quantique.
- Corrections de bugs et correctifs de sécurité plus rapides:Étant un projet très actif, Tongsuo bénéficie de mises à jour plus fréquentes qu'OpenSSL.
3. Plus de compatibilité et de flexibilité
OpenSSL, bien que répandu, présente des limites dans sa compatibilité avec certains scénarios d'entreprise. Tongsuo, en revanche, a été développé avec des environnements hautement évolutifs à l'esprit et avec des besoins de sécurité avancés spécifiques. Quelques points forts dans ce domaine sont :
- Prise en charge des protocoles avancés tels que QUIC, TLS 1.3 amélioré et fonctionnalités étendues pour PKI (Public Key Infrastructure).
- Meilleure gestion des sessions TLS pour réduire la charge sur les serveurs lors de connexions multiples.
- Compatibilité API OpenSSL, facilitant la migration d'OpenSSL vers Tongsuo sans modifier radicalement le code d'application existant.
Comparaison côte à côte entre Tongsuo et OpenSSL
Voici une brève comparaison entre OpenSSL et Tongsuo :
caratteristica | OpenSSL | Tongsuo |
---|---|---|
Performance | Standard | Optimisé pour les processeurs modernes |
Accélération matérielle | Limité | Prise en charge avancée des accélérateurs |
Prise en charge de TLS 1.3 | Présenter | Optimisé avec des fonctionnalités avancées |
sécurité | Standard | Protection améliorée contre les attaques par canal auxiliaire |
Évolutivité | Médio-alta | Élevé, optimisé pour le cloud et le centre de données |
Cryptographie post-quantique | Limité | Présenter avec des améliorations |
Compression d'en-tête TLS | absent | Présenter, améliorer le TTFB pour mobile |
Si vous êtes intéressé par Tongsuo, vous pouvez trouver plus d'informations et le référentiel officiel sur GitHub.
Approuvé officiellement en Chine
Tongsuo a obtenu la certification en tant que produit cryptographique commercial en Chine, conforme à la norme GM/T 0028 « Exigences techniques de sécurité pour les modules cryptographiques ». Cette certification, délivrée par le Centre de certification des produits cryptographiques commerciaux du Bureau national de gestion de la cryptographie, certifie que Tongsuo répond aux exigences de sécurité pour une utilisation commerciale en Chine.
Voici les principaux points du certificat :
- Numéro de certificat:GM003312220220743.
- Émitente:Bureau national de gestion de la cryptographie de Chine.
- Produit certifié:Le module logiciel cryptographique BabaSSL, version 8.2.1, produit par Ant Group (lié à BabaSSL).
- Norme technique de référence:GMT 0028, une norme chinoise pour la sécurité des modules cryptographiques commerciaux.
- validité:Du 30 novembre 2022 au 29 novembre 2027.
- Lieu de fabrication:Les adresses indiquées font référence au siège opérationnel d'Ant Group.
- Organisation des tests:Centre national de test des produits cryptographiques commerciaux de Chine.
Le certificat certifie que le produit répond aux exigences de la réglementation chinoise en matière de cryptage commercial, garantissant ainsi la sécurité et la conformité.
Bien que Tongsuo soit une solution avancée et certifiée en Chine pour le cryptage commercial, Son adoption dans les produits logiciels américains et européens pourrait se heurter à des obstacles réglementaires et législatifs. En particulier, les lois américaines, telles que l'International Traffic in Arms Regulations (ITAR) et l'Export Administration Regulations (EAR), ainsi que les réglementations européennes strictes en matière de confidentialité et de sécurité des données, pourraient rendre complexe l'intégration de logiciels cryptographiques certifiés en Chine. Ces réglementations exigent souvent une vérification rigoureuse de la provenance et du contrôle du code source, ainsi que des restrictions sur l’utilisation de technologies considérées comme stratégiques ou sensibles. Ces facteurs pourraient avoir un impact sur l’adoption complète de Tongsuo dans les environnements occidentaux, en particulier dans des secteurs tels que le cloud computing, la finance et les infrastructures critiques.