作者:张晶晶 来源:中国科学报 发布时间:2017/10/13 8:57:12
选择字号:
带你认识一个真实的OpenSSL

 

一篇名为《隐形战友》的文章让很多国人认识了开源社区OpenSSL,这篇文章中的OpenSSL团队成员们仿佛“复仇者联盟”般的英雄存在,他们散布于世界各地,并肩奋斗十几年彼此再熟悉不过,但却囿于资金短缺无法相见。

■本报记者 张晶晶

3年前,名为“心脏出血”(Heartbleed)的安全漏洞引发全球关注,它被称为史上最严重的安全漏洞。这一漏洞让任何人都能读取系统的运行内存,全球2/3的网站可被攻击,并且还是“敞开了门,可以随意掠夺信息”。

SSL(安全套接层)协议是使用最为普遍的网站加密技术,而OpenSSL则是开源的SSL 套件,为全球成千上万的web服务器所使用。

三年过去,“心脏出血”的阴影渐渐散去,OpenSSL现状如何?近日OpenSSL核心团队首访中国,在三里屯科技寺创业空间,OpenSSL创始人之一、美国国防部前顾问Steve Marquess,OpenSSL前身SSLeay创建者、OpenSSL创始人之一Tim Hudson 和白山云科技架构师、位居OpenSSL代码贡献榜第18位的杨洋接受了《中国科学报》记者的采访。

开源社区OpenSSL

自1995年成立以来,OpenSSL一直备受关注,作为互联网加密传输的核心基础组件,多数安全传输场景下也都是使用OpenSSL开源项目进行开发的。

谈到初创OpenSSL的理由,Tim Hudson告诉《中国科学报》记者,OpenSSL因美国当时对于加密算法的出口限制而诞生。“第一个原因是当时我们买不起美国的这些加密软件,第二个原因是即使买得起,也买不到货真价实的方案,因为美国对出口有限制,所以我们自己做了加密的东西。”

作为一个开源社区,OpenSSL由全球程序员们贡献代码。总有人抱怨他们的代码很烂,但事实上它确实又是全球使用最广的安全技术。

“不管是公司还是个人,都会向我们捐献代码,我们会进行研究、评估。如果觉得可以的话,我们会加入到软件鸣谢名单里。贡献的形式也各不相同,有的是代码,有的是文档,有的是帮我们找错误等等,不管是什么,我们都是很欢迎的。”Tim Hudson介绍说。

其中不得不提到的正是目前OpenSSL贡献榜排名第18位的杨洋,Tim评价说,在过去的18个月里,他发现“杨洋更加努力”。

而谈及贡献代码并且如此努力的理由,杨洋的答案是just for fun(只是为了有趣)。他在采访中告诉记者,自己在白山的工作是远程办公的方式,而他也分出了将近一半的工作时间来为OpenSSL贡献代码。

“心脏出血”之后

一篇名为《隐形战友》的文章让很多国人认识了OpenSSL,这篇文章中的OpenSSL团队成员们仿佛“复仇者联盟”般的英雄存在,他们散布于世界各地,并肩奋斗十几年彼此再熟悉不过,但却囿于资金短缺无法相见。直到“心脏出血”之后,全世界才意识到自己在免费使用着一个如此关键的软件,而这个软件的开发者穷得不得了。

文章述说了一个互联网时代的无名英雄故事,极具感染力和可读性,但也有业内人士发表了不一样的声音,指出了OpenSSL的诸多问题。就此,Steve Marquess向《中国科学报》记者表示,自己是在这篇文章发表一段时间之后才读到了英文版,“我个人对此感到有点不太好意思”。

“确实,它把我们描述得比较英雄主义,事实上没有这么伟大。但我知道它一定是说了我们的好话,因为我读到英文翻译已经是一段时间之后了,而在此之前有来自中国的一些捐款,所以它肯定不是‘黑’我们的文章。”

据介绍,华为和锤子科技是中国对OpenSSL捐款最多的两家公司,活动现场,Steve就先对两家公司表示了感谢。他说道:“我们收到的来自中国的资助要比其他任何一个国家都多。”

相比“心脏出血”之前,OpenSSL的财务状况有所好转。相比3年前只有2个全职员工,他们现在有4名全职员工。

Steve 表示:“‘心脏出血’是惨痛的经历,但发生这件事情也有好处,这件事情显示了计算技术和互联网有多大程度依赖OpenSSL,很多媒体进行了报道。”

这三年OpenSSL经历重建,从系统上还了之前欠下的技术债。他们重构与精简代码,同时不断加入新代码和功能,进行梳理和筛减,尽可能让内部结构变得不透明,他们有了新代码库,第一次重要审计也是在这个期间完成。

互联网安全

在互联网世界已经融为真实世界一部分的今天,信息安全是每个人都十分关心的话题。作为全球知名密码学专家的Tim在活动当天还进行了题为《量子加密和后量子时代的密码学》的主题分享。

Tim 表示,过去5年间,量子计算和量子通讯不断得到发展,甚至可以抵达现有密码学领域无法企及的领域。后量子时代即将来临,虽然究竟需要多久才能实现,谁都不得而知,但量子时代一旦到来,现有的密码系统都会瞬间瓦解,OpenSSL密码工具库也可能因此而受到冲击,整个世界都会因此卷入一场风波之中。

促成此次OpenSSL中国行的白山云科技则在活动现场发布了新版HTTPS加速服务。据杨洋介绍,HTTPS服务使服务器端性能提高4倍,全方位提升安全性。

聊到中国程序员有哪些特别之处,Steve回答说,在他看来中国程序员和硅谷里的程序员并没有什么区别。“开源项目是由全球各地的程序员一起做的,有非常强的文化多元性。东西方语言有差异,但也不受影响。”

《中国科学报》 (2017-10-13 第3版 科普)
 
 打印  发E-mail给: 
    
 
以下评论只代表网友个人观点,不代表科学网观点。 

目前已有0条评论
相关新闻 相关论文

图片新闻
大熊猫“八喜”“映雪”将同时放归大自然 鼠海豚聚焦声纳束颠覆物理定律
冲浪高手和科学家打造完美波浪 巴西干旱沙漠怎么冒出万千湖泊
>>更多
 
一周新闻排行 一周新闻评论排行
 
编辑部推荐博文
 
论坛推荐