米国 Google は通信暗号化システム「OpenSSL」から派生した「BoringSSL」を発表した。同社の技術者である Adam Langley 氏が自身のブログで明らかにした。

OpenSSL は多くのユーザーがインターネットサービスを利用する際の通信を暗号化し、第三者による盗み見を防止するシステムとして、長らく事実上の標準だった。しかし4月に深刻な脆弱(ぜいじゃく)性が見つかって以来、その開発、管理体制には疑問が投げかけられるようになった。

OpenSSL に不満を抱く組織 OpenBSD Foundation はこの4月、同システムからフォーク(派生)した「LibreSSL」を立ち上た。BoringSSL も同様に OpenSSL からフォークしたものだが、Google 側は、OpenSSL に取って代わるといった野心は否定している。

Langley 氏の説明によると、Google では以前から OpenSSL にさまざまなパッチ(修正)をあてて利用している。同社のモバイル向け OS 「Android」や Web ブラウザ「Chrome」などの製品がそうしたパッチのサブセットを必要とし始めているという。

パッチの中には、 OpenSSL 本体が取り込んだものもあるが、OpenSSL がほかのサービス、システムと連携するための API、ABI の安定性と相性が悪かったり、実験的すぎたりするものも多い。

さらにパッチは、数が増えたために管理が困難になっており、いっそすべてを取り込んで BoringSSL を新たに開発することにしたという訳だ。同システムでは OpenSSL のような API、ABI の安定性は保証しないという。

BoringSSL はまず Chrome の開発を支えるオープンソースの Web ブラウザプロジェクト 「Chromium」で採用し、いずれ Android などにも採用する意向。

BoringSSL では今後も、OpenSSL が行うさまざまな改良を採り入れ、逆に共通する問題点が見つかれば OpenSSL 側に連絡する。さらに LibreSSL の改良も採り入れ、LibreSSL が BoringSSL の改良を採り入れることも歓迎するという。

なお Google は OpenSSL、OpenBSD Foundation に行っている資金援助は今後も続けるという。