Om ervoor te zorgen dat de implementatie van cryptografische algoritmen in Firefox vrij van problemen is zal Mozilla met de lancering van Firefox 57 met "geverifieerde cryptografie" komen. Volgens de browserontwikkelaar blijkt uit ervaring dat het lastig voor ontwikkelaars is om foutloze code te schrijven.
In het geval van een bug of kwetsbaarheid wordt dit vervolgens met een update verholpen. Iets wat voor de meeste software werkt, aldus Benjamin Beurdouche van Mozilla. Als het echter gaat om fouten in cryptografische softwarebibliotheken kan dit de veiligheid van gebruikers in gevaar brengen. En dit soort kwetsbaarheden komen geregeld voor. Alleen het afgelopen jaar zijn er meerdere kwetsbaarheden in populaire cryptografische softwarebibliotheken gepatcht.
Tegenwoordig is het echter mogelijk om de implementatie van cryptografische algoritmen automatisch te controleren. Op deze manier kan worden verzekerd dat de implementatie vrij is van allerlei fouten. Iets wat handmatiger veel lastiger te controleren is. Mozilla werkt nu samen met de Franse onderzoeksorganisatie INRIA en Project Everest, waar Microsoft Research, Carnegie Mellon University en INRIA aan meedoen, om onderdelen van hun gecontroleerde cryptografsiche softwarebibliotheek aan de security-engine van Firefox toe te voegen.
Mozilla is naar eigen zeggen daarmee de eerste grote webbrowser die over formeel geverifieerde cryptografische primitieven beschikt. Naast de veiligheid zou dit ook de prestaties ten goede komen. De nieuwe cryptografische implementatie is namelijk 20 procent sneller dan de huidige implementatie binnen Firefox. Het plan is om de nieuwe code met Firefox 57 te lanceren, die voor november staat gepland.
Deze posting is gelocked. Reageren is niet meer mogelijk.