心脏滴血后的第三年,OpenSSL开源团队访华纪实

2017-09-27 171309人围观 ,发现 5 个不明物体 活动

20 世纪 90 年代,美国开始对加密算法实施出口限制政策。

1995 年,太平洋彼端的另一个国家——澳大利亚,年轻的 Eric Young 与 Tim Hudson 在网络上公开了自己开发的初版 SSLeay 加密库。

1998 年12 月,SSLeay 停止开发,社区另外分支出 OpenSSL。

2014 年,OpenSSL 1.0.1版本出现“心脏滴血”漏洞。

2017 年,OpenSSL 继续在前进,他们来到中国,也来到北京,故事仍然在继续。

离开阴雨绵绵的上海,我们启程来到了阳光和煦的北京,9 月 23 日 FreeBuf 应会议组织方白山云科技的邀请,在三里屯的科技寺创业空间见到了首次来到中国的 OpenSSL 团队。团队的 5 位核心成员悉数到场,Steve Marquess、Matt Caswell、Tim Hudson、Rich Salz、Richard Levitte,他们用温和而略带好奇的眼光环视着会场,打量着台下数百名闻讯而来参会的观众,早早地来到座位上等待演讲的开始。

科技寺演讲现场2.jpg

本次分享的主题是 “未来密码 —— 从互联网传输协议到后量子时代的密码学” ,他们分别从 OpenSSL 社区与文化、 TLSv1.3 协议在 OpenSSL 的实现、 IETF 工作流程及同态加密、 OpenSSL Roadmap 及新版本规划,以及量子加密和后量子时代的密码学进行分享。

同时我们也了解到很多隐藏在 OpenSSL 团队过去 22 年发展历程中的故事。

心脏滴血,不可回避的历史时刻

作为互联网加密传输的核心基础组件 OpenSSL 一直备受关注,多数安全传输场景下也都是使用 OpenSSL 开源项目进行开发的,这样的全球项目自 1995 年正式成立到 2017年的当下,已经走过了 22 年的风雨,三年前年心脏滴血危机的阴影逐渐淡去,却成为 OpenSSL 历史中不可回避的一段特别时期。

Steve答记者问.jpg

OpenSSL团队“大管家”——Steve Marquess

在交流环节中,OpenSSL 团队管委会成员的 Steve Marquess 谈起了 2014 年心脏滴血发生的那个时刻。

Heartbleed 是一次惨痛的经历,全球各家媒体都报道了这个安全漏洞的严重影响。OpenSSL 涉及的规模和复杂程度那么大,但对于当时的项目团队(全职仅两人)来说,我们缺乏人手来完全杜绝安全漏洞。

事件发生之前,我们只是默默无闻的开发团队,但事件发生之后,真的很难形容那是怎样的感受。

那段时间连我去看牙医,我的医生都会关切地问我‘你最近怎么样了,我好像经常在电视上看见你呢’。

对于一个人手有限的团队来讲日子确实不好过。也是在意料之中,我们收到了很多批评和负面评价,但也有很多让人温暖的鼓励和支持——我们在全球都收到了反馈,甚至有很多帮助来自那些我都无法在地图上找到的国家。

特别在中国,我们也收到了令人鼓舞的信息。而除了这些鼓励信息之外,我们还收到数百个来自中国的个人、以及两家中国企业锤子科技华为的捐助,可以说这些捐助比任何一个其他国家都多。

同时,中国也出现像白山云科技这样的公司,通过工程师在业余时间贡献才华和时间的方式来帮助OpenSSL。支持 OpenSSL 的方式不仅限于捐款,还有贡献你的才能和时间。

从 22 年前默默无闻的开源项目起步

对于和平时代的普通人而言,加密技术可能只是一种遥远的武器,而在政府等权威的眼里,加密技术却是一种禁止出口的武器。OpenSSL 因美国当时对于加密算法的出口限制而诞生。

这个非商业性质的开源项目,需要很长久的时间,才能逐渐赢得人们的关注、认可和名誉,并逐渐实现一些盈利。耐心、时间和付出是很长一段时间里他们唯一骄傲的东西。这个过程中,团队成员也坦言他们确实需要资源,但如果只着眼利益,就会没有耐心投入足够的时间和资金来完善这个开源项目。当然,这也成为了部分开发人员离开团队的主要原因。

OpenSSL中国行合影:.jpg

照片从左至右分别为:Rich Salz、Matt Caswell、杨洋、Tim Hudson、Steve Marquess 和 Richard Levitte

只是以我个人为例的话,我现在完全可以把这份工作当作兴趣来做,我现在没有什么孩子教育资金和个人生活上的压力,可以放心地花费时间在这个项目上。逐渐地项目的影响力扩大了,我还可以为一些企业提供 OpenSSL 咨询来赚一些钱。

我们未来的希望还是 OpenSSL 能够继续扩大它的影响,我们希望看到更多的应用选择 OpenSSL 。

2014 年发生心脏滴血事件之后,团队在整体结构管理和项目内容上都实现了一些改变。

我们做了很多努力和改变,弥补了过去的技术债,进行了代码重构和精简,完善了很多功能,还做了功能上的梳理和筛选,并完成了第一次重要代码审计。

其次,对于整个组织而言,我们团队成员的全职人员从 2 人扩大到 4 人,管委会也有 8 人任职,社区的committer 则有 14 人。我们还为团队制定了更书面的管理章程,便于更长久的管理。

——Steve Marquess

而危机的成功化解,让 OpenSSL 重新启程。

对这些分散在世界各地的团队成员而言,在这些备受关注的非常时刻之外,更多的还是一个又一个普通的写着代码的日子,是在邮件列表中与社区成员的探讨,是处理 GitHub 上一个又一个 Pull request 。OpenSSL 相信更开放健康的社区能够及时发现存在的问题,及时处理隐患,不断改善代码质量和增加新功能,为更多的用户提供保护隐私安全加密的服务。

屏幕快照 2017-09-26 上午11.02.49.png

OpenSSL社区欢迎更多开发者参与贡献

其实软件的安全问题,在开源软件和闭源软件上都会出现,威胁性也是同等程度的。

因为,软件开发人员都只是人类,而只要是人类的思考,都是可能犯错误的,只是这些错误是否暴露出来。

我们要做的是建设更健康、活跃的社区,将具体的规则和政策写明,彼此包容尊重。这种氛围其实就是开源社区的精神,也是 OpenSSL 在过去三年里在做的事情,未来我们还会做的更好。

—— Tim Hudson

欢聚时刻,首次在中国

本次会议上 ,他们也坦言由于团队成员都来自不同国家,平时都是远程办公的状态,这次的中国行其实也是相当难得的“相聚时刻”。

2014 年我们团队在德国首次召开过第一次面对面的会议。当时的情况就是,其实我们中的多数已经相识多年,甚至有超过 15 年的,但却在 2014 年之前从未见过。成员都来自各个国家,如美国、比利时、加拿大、瑞典、德国、俄罗斯、瑞士、澳大利亚等等。之前,我们都是通过网络上的贡献和社区的名声来结识并邀请他们加入 OpenSSL 团队的。

——Steve Marquess

此次来到中国,对于团队成员来说都是新奇的经历,他们说此前对于中国的了解仅限于书本,此次在白山云科技的邀请之下,才第一次亲身体验中国独特的文化。

而在这次行程之中,他们一路走过了杭州、深圳,最后来到北京,感受到了中国庞大的人口大型的城市,参观企业时也看到了中国科技企业,如阿里巴巴、百度、华为、锤子科技、腾讯的远大愿景。

OpenSSL与锤子交流.jpg

团队成员参观中国锤子科技

开源项目是由全球各地的程序员一起完成的,对于不同地区的文化还是有着很强的包容性。但我们这些以英语为母语的程序员还是认为,中国程序员在编写代码时付出了比我们更多的努力,他们还需要克服语言的障碍,熟悉英语的语言结构,我认为这是非常值得敬佩的事情。

而在我们参观的中国科技企业中,我认为他们的水平还是相当高的。我之前做的全职工作也让我可以在全世界各个地方与各种公司打交道。我可以负责任地说,中国企业的研发在工程和软件开发方面应该都是达到了世界级水平的。

—— Tim Hudson

而本次中国行活动的主办方白山云科技,也可谓和 OpenSSL 团队交情不浅,白山云架构师杨洋在 OpenSSL 代码贡献榜排名第 18 位,是亚洲地区参与 OpenSSL  项目的代表人物,在参与项目所作出的贡献也被 Tim Hudson 等人高度评价,称其“聪明、努力而持之以恒”。

Tim Hudson与白山CTO童剑交流.jpg

Tim Hudson 与白山云 CTO 童剑交流

随着中国在经济、科技方面的地位越来越高,逐渐能够成为全球的创新中心,对开源社区和团队的吸引力也越来越大,因此中国之旅的意向双方一拍即合,达成了共识。

未来的密码,需要考虑对抗量子计算吗?

值得一提的是,在本次会议的最后,OpenSSL 团队中创办 Cryptsoft 的 Tim Hudson 还分享了涉及量子加密的有趣议题,FreeBuf 此前也曾经写过相关的文章

Tim 表示,过去 5 年间,量子计算和量子通讯不断得到发展,甚至可以抵达现有密码学领域无法企及的领域。后量子时代即将来临,虽然究竟需要多久才能实现,谁都不得而知,但一旦量子时代到来,现有的密码系统都会瞬间瓦解,OpenSSL 密码工具库也可能因此而受到冲击,整个世界都会因此卷入一场风波之中。

屏幕快照 2017-09-25 下午1.34.50.png

量子计算对现有密码系统的影响

尽管目前相关的研究还是在学术领域进行,还是需要来自各界更多方面的研究才可能得到完善的解决方案,而  OpenSSL 团队也在密切关注这些新领域的发展和变化,并做好面向未来的准备。

*本文作者Elaine,FreeBuf官方报道,禁止转载。

这些评论亮了

  • 相声爱好者 回复
    现在想到openssl,除了想到心脏滴血,还会想到锤子
    )10( 亮了
发表评论

已有 5 条评论

取消
Loading...
css.php