Amazon behauptet, x25519 und ed25519 deutlich beschleunigt zu haben. Das kann natürlich grundsätzlich sein, dass da Performance nicht ausgeschöpft wurde, aber diese beiden Verfahren sind eigentlich bekannt für ihre hohe, geradezu enorme Performance, während sie gleichzeitig darauf achten, keine Seitenkanäle zu haben (Timing oder sonstige).

Insofern wäre schon eine Ankündigung von 5% mehr Performance etwas besonderes. Amazon verspricht hier aber eher 50% mehr Performance (je nach CPU-Architektur). Das ist schon ein ziemlicher Wumms.

Bemerkenswerterweise behaupten sie auch, dabei nicht die Seitenkanalfreiheit kompromittiert zu haben, und dass sie per automatisierter Korrektheitsbeweisführung nachweisen können, dass das auch alles korrekt arbeitet. Diese Art der Beweisführung ist für einen Algorithmus dieser Komplexität ein ziemlich dickes Brett.

So und dann wird es noch krasser. Der Quell-Algorithmus lag in Assembler-Code vor, und sie arbeiten auch weiterhin auf Assembler-Ebene. Ihre Beweissoftware wurde mit der genauen Semantik aller verwendeten CPU-Instruktionen konfiguriert. Das ist ziemlich heiße Scheiße, wenn es stimmt.

Und das beste: Ist Open Source, liegt auf Github. Lizenz ist die von BoringSSL, wovon sie geforkt haben. Das ist seinerseits ein Fork von OpenSSL, den Google gemacht hat. Ihre neuen Dateien sind Apache 2.0-Lizenz oder ISC-Lizenz, d.h. können sogar in kommerziellem Code verwendet werden.

Wenig bekannt ist, dass Amazon auch eine eigene TLS-Library hat. Sogar mehrere anscheinend. Auch unter freien Lizenzen.

Ist also nicht alles Scheiße, was Amazon macht. :-)

Update: Hier ist ein Paper und hier ist eine Präsentation zu der verwendeten Software. Ausgesprochen eindrucksvoll, was die da erreicht haben!

13.09.2024