De Linux-kernel, het hart van veel besturingssystemen, is bezig met het uitfaseren van de AF_ALG-interface. Dit klinkt misschien technisch, maar het betekent in feite dat een specifieke methode voor programma’s om gebruik te maken van de ingebouwde encryptiefuncties van de kernel binnenkort verdwijnt. De reden hiervoor is een groeiende bezorgdheid over de veiligheid, waarbij deze interface een “enorm aanvalsoppervlak” bleek te bieden. Recente ontwikkelingen, waaronder de opkomst van AI- en LLM-gebaseerde tools die kwetsbaarheden sneller opsporen, hebben de urgentie van deze beslissing vergroot.
AF_ALG gaf softwaretoepassingen de mogelijkheid om direct toegang te krijgen tot de cryptografische motor van de Linux-kernel. Dit was handig voor prestaties, omdat het de omweg via gebruikersruimtebibliotheken kon vermijden. Echter, deze directe toegang en de complexiteit van de code creëerden veel potentiële zwakke plekken die door kwaadwillenden misbruikt zouden kunnen worden. Een “aanvalsoppervlak” verwijst naar alle punten in een systeem waar een ongeautoriseerde gebruiker gegevens kan invoeren of extraheren, en in dit geval was dat oppervlak te groot. De ontwikkelaars van de Linux-kernel hebben daarom besloten om AF_ALG relatief snel uit te faseren.
Voor de gemiddelde Linux-gebruiker zal deze verandering waarschijnlijk ongemerkt voorbijgaan. De meeste applicaties gebruiken al andere, veiligere methoden voor encryptie, zoals populaire bibliotheken als OpenSSL. Voor ontwikkelaars en gespecialiseerde software die wel afhankelijk waren van AF_ALG, betekent dit dat ze hun code moeten aanpassen en overstappen op alternatieve interfaces of gebruikersruimtebibliotheken. Een ander belangrijk aspect is dat de ondersteuning voor het ‘offloaden’ van cryptografische taken naar gespecialiseerde hardware via AF_ALG ook verdwijnt. Hoewel dit in theorie een kleine prestatie-impact kan hebben voor zeer specifieke, intensieve taken, weegt de winst in algehele systeemveiligheid en stabiliteit zwaarder voor de kernelontwikkelaars. Er blijven overigens andere manieren bestaan om hardwareversnelling voor cryptografie te benutten.
Deze beslissing van de Linux-kernelgemeenschap benadrukt de voortdurende focus op beveiliging en het proactief aanpakken van potentiële risico’s. Door complexiteit te verminderen en een potentieel kwetsbare interface te verwijderen, wordt de basis van miljoenen systemen wereldwijd robuuster en veiliger gemaakt, wat uiteindelijk ten goede komt aan iedereen die Linux gebruikt.
Bron: https://www.phoronix.com/news/Linux-AF-ALG-Deprecation