?

Log in

No account? Create an account

Previous Entry | Next Entry

Keyless SSL™ (shameless plug)

CloudFlare анонсировал, что теперь можно не раздавать сертификаты точкам, которые терминируют SSL трафик.

[1] http://blog.cloudflare.com/announcing-keyless-ssl-all-the-benefits-of-cloudflare-without-having-to-turn-over-your-private-ssl-keys/
[2] https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/

И это на самом деле здорово. Только они так говорят, как будто это инжениринговый прорыв нереальный.

В начале двухтысячных у нас в Netli (продались Akamai) появилось желание терминировать SSL, причём, чтобы наши датацентры, стоящие в Китае, Бразилии, России и ещё чёрт-те где, не имели бы приватного SSL-сертификата. Потому что несекьюрно и может утечь. Среди наших клиентов были такие компании, как Dell (dell.com), HP (hp.com), и сертификаты этих сайтов было бы очень грустно утратить в процессе обработки их на этих разнесённых датацентрах.

В районе 2003-2004 я имплементировал этот процесс в виде расширения OpenSSL (добавил туда fibers, чтобы можно было асинхронизировать запросы; изначально в OpenSSL этот процесс синхронен), и набора софта "keyserver", при котором бы ключи хранились на центральных машинах в штатах, а на краевых машинах, в левых датацентрах, терминация SSL приводила бы к асинхронному запросу на генерацию pre-master ключа. На централизованных keyservers ключи на диске хранились в зашифрованном блобе, а ключ от блоба хранился в HSM (от nCipher) в центральном сервере, и передавался кейсерверам только временно.

Процесс мы не запатентовали, потому что наши предыдущие патенты, связанные с простыми инженерными шнягами, шли туговато. Например, моя глупая аппликация US20060098645 так и не прошла.

С тех пор эта же технология безключевого SSL светилась несколько раз в разных патентных аппликациях:

http://www.google.com/patents/US20070074282 (Certeon)
http://www.google.com/patents/US20130156189 (Akamai) — это выглядит ровно как описание моей работы — ну да не мудрено, потому что Akamai купил Netli целиком вместе с её кодом и клиентами, использовавшими безключевую терминацию SSL.

Но эти апликации не прошли. А вот более поздняя апликация от CloudFlare — прошла, и превратилась в патент:

https://www.google.com/patents/US8782774 (CloudFlare)

Вывод? Молодцы, я рад за них ;) Только патент у них non-enforceable, потому что есть prior art, закреплённый в патентах от Certeon и Akamai.

Tags:

Comments

( 5 comments — Leave a comment )
lionet
Sep. 19th, 2014 01:29 pm (UTC)
Пока патенты на софт не запретили — так и играем в эти игры. Как-то интервьюировал чувака из HP с шестью патентами. Среди них был патент на четырехкнопочную мышь. Спрашиваю, мол, «kakouo whooya». Он, несколько стесняясь, ответил, что их заставляли патентовать всё, что движется.
nealar
Sep. 19th, 2014 02:40 pm (UTC)
патентовать всё, что движется
То есть, с четырёхкнопочным тачпадом бы фокус не прошёл?
lionet
Sep. 19th, 2014 03:13 pm (UTC)
Эплу вон вообще пришлось кнопки с точпадов убрать — вся поляна патентами заминирована, не пройти — не проехать!
alex_executer
Sep. 19th, 2014 04:15 pm (UTC)
https://www.youtube.com/watch?feature=player_embedded&v=e3LfJFgiews
Простите что не в тему, но у меня в ленте это видео было прямо перед вашим постом.
Очень уж мужик на фотографии похож на юзерпик...
( 5 comments — Leave a comment )

Profile

lionet
Lev Walkin
Website

Latest Month

December 2016
S M T W T F S
    123
45678910
11121314151617
18192021222324
25262728293031
Powered by LiveJournal.com
Designed by yoksel