Let's Encrypt की मेमोरी सेफ़्टी को मज़बूत करना: ntpd-rs की तैनाती

 (letsencrypt.org)
6 पॉइंट द्वारा GN⁺ 2024-06-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Let's Encrypt लंबे समय से इस बात को लेकर चिंतित रहा है कि operating system और network infrastructure का बड़ा हिस्सा C और C++ जैसी असुरक्षित भाषाओं में लिखा गया है
  • CA software मेमोरी-सेफ़ Golang में लिखा गया था, लेकिन OS/network हिस्सों में मेमोरी सेफ़्टी की कमी रही, जिसके कारण patch की ज़रूरत वाली vulnerabilities रोज़मर्रा की बात थीं
  • 2020 में Prossimo project शुरू किया गया, जिसका लक्ष्य महत्वपूर्ण software infrastructure को memory-safe बनाना था

Prossimo project की प्रमुख उपलब्धियाँ

  • Rustls TLS library, Hickory DNS, River reverse proxy, sudo-rs, Linux kernel में Rust support, ntpd-rs आदि कई software components में निवेश किया गया
  • हाल ही में Let's Encrypt infrastructure में Prossimo का पहला memory-safe software, ntpd-rs, तैनात किया गया

ntpd-rs का महत्व

  • ज़्यादातर operating systems सही समय निर्धारित करने के लिए Network Time Protocol (NTP) का उपयोग करते हैं
  • time tracking OS का एक महत्वपूर्ण काम है, और क्योंकि यह internet के साथ interact करता है, इसलिए NTP implementation की security महत्वपूर्ण है
  • अप्रैल 2022 में Prossimo ने memory-safe और अधिक सुरक्षित NTP implementation, ntpd-rs, पर काम शुरू किया
  • अप्रैल 2024 में ntpd-rs को Let's Encrypt के staging environment में तैनात किया गया, और अब यह production environment में उपयोग हो रहा है

आगे की योजना

  • आने वाले कुछ वर्षों में Let's Encrypt infrastructure में C या C++ software को memory-safe alternatives से बदलने की योजना है
    • OpenSSL और उसके derivatives को Rustls से बदलना
    • DNS software को Hickory से बदलना
    • Nginx को River से बदलना
    • sudo को sudo-rs से बदलना

GN⁺ की राय

  • मेमोरी सेफ़्टी का महत्व: memory-safe भाषाओं में लिखा गया software security vulnerabilities को कम करने में बहुत मदद करता है
  • Rust के फायदे: Rust मेमोरी सेफ़्टी सुनिश्चित करते हुए उच्च performance देता है, इसलिए यह कई security-sensitive software के लिए उपयुक्त है
  • कम्युनिटी की भूमिका: open source projects में community का योगदान महत्वपूर्ण होता है, और Let's Encrypt के मामले में भी यह अलग नहीं है
  • तकनीक अपनाते समय ध्यान देने योग्य बातें: नई तकनीक अपनाते समय existing systems के साथ compatibility, learning curve आदि पर विचार करना चाहिए
  • सुरक्षा मज़बूत करने की ज़रूरत: internet infrastructure की security मज़बूत करना पूरे internet ecosystem की सुरक्षा बढ़ाने में योगदान देता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-06-25
Hacker News राय
  • NTPD को Rust में लागू करने का विचार: NTPD को Rust में लागू करने के विचार में रुचि है। परफॉर्मेंस के बारे में जानकारी खोज रहे हैं, खासकर नेटवर्क समस्या की स्थितियों में time synchronization परफॉर्मेंस को लेकर। Chrony के साथ तुलना भी देखना चाहते हैं।
  • NTP समस्या की जटिलता: NTP अभी भी पूरी तरह सुलझी हुई समस्या नहीं है, और memory safety से ज़्यादा परफॉर्मेंस महत्वपूर्ण है। Chrony सिस्टम के डिफ़ॉल्ट NTP से काफ़ी बेहतर है, इसलिए उसका उपयोग कर रहे हैं।
  • Rust समर्थक की राय: Rust के समर्थक के रूप में, ntpd-rs तभी विचार करने लायक होगा जब वह Chrony की परफॉर्मेंस के करीब पहुँचे।
  • Memory safety पर चर्चा: Memory safety पर ज़ोर देना कुछ अजीब लगता है। NTPD में attack vector कम हैं, और यह memory समस्याओं के बिना अच्छी तरह काम कर रहा है। ज़्यादा महत्वपूर्ण components को memory-safe भाषा में फिर से लिखना ज़रूरी है।
  • JSON dependency पर सवाल: यह जानने की जिज्ञासा है कि NTPD में JSON dependency क्यों है।
  • BGP को फिर से लिखने का सुझाव: अगला कदम BGP को memory-safe भाषा में फिर से लिखना होना चाहिए।
  • NTPsec के उपयोग पर सवाल: यह जानना चाहते हैं कि क्या वास्तव में कोई NTPsec का उपयोग करता है।
  • NTP सर्वर की समस्या: NTP की समस्या client में नहीं, बल्कि server में है जिसे forged UDP packets संभालने पड़ते हैं। NTPD के केवल TCP-आधारित होने की संभावना पर संदेह है। 10 साल पहले से सार्वजनिक stratum 3 server चलाना बंद कर दिया है.