Google está desarrollando su propia versión de OpenSSL que será más apropiada por sus propios productos de software, que han usado por años el crítico componente de cifrado con parches personalizados.
El proyecto, que tentativamente se llama “BoringSSL”, no se encuentra diseñado para reemplazar a OpenSSL, escribió Adam Langley, ingeniero de software de Google, en su blog personal. Google contribuirá con sus cambios al proyecto de código abierto OpenSSL, y usará las reparaciones de bugs provenientes de ese equipo, escribió.
OpenSSL es un código de software ampliamente usado que cifra contenido entre un cliente y un servidor. El código de OpenSSL está bajo un exhaustivo examen luego de que se revelara una vulnerabilidad llamada Heartbleed el 7 de abril que potencialmente permitiría a los hackers a robar datos o comprometer la conexión cifrada.
Google ha desarrollado sus propios parches para OpenSSL, pero no siempre son compatibles con las API (application programming interfaces) y las ABI (application binary interfaces), escribió Langley.
Los productos como Android y Chrome han necesitado subconjuntos de estos parches, y ahora hay hasta unos 70 parches entre las múltiples bases de código, lo cual se ha convertido en algo muy complejo, señaló el ingeniero de Google.
“De esta manera, estamos cambiando de modelo hacia uno en donde importamos los cambios de OpenSSL en lugar de basarnos en ellos”, escribió. “El resultado de ello comenzará a aparecer pronto en el repositorio de Chromium, con el tiempo, esperamos usarlo en Android y también internamente”.
La versión de Google de OpenSSL no necesariamente soportará las API y ABI en OpenSSL, agregó Langley.
Lo que viene
La compañía también incorporará cambios en el código provenientes de LibreSSL, una variante de OpenSSL que comenzó luego de Heartbleed, y estuvo a cargo de algunos insatisfechos con OpenSSL. LibreSSL ha llevado a cabo un gran proyecto examinando el código de OpenSSL en búsqueda de fallas y realizando mejoras.
Hubo preocupaciones, luego de la aparición de Heartbleed, acerca de la dependencia de muchos sistemas operativos y productos de software con OpenSSL y el relativo poco financiamiento que existe detrás del proyecto. Desde entonces, grandes compañías tecnológicas lanzaron la Core Infrastructure Initiative, que apunta a apoyar proyectos de código abierto con bajo financiamiento y emplear desarrolladores de tiempo completo.
Jeremy Kirk, IDG News Service
