Na tej stronie znajdziesz listę znanych problemów z Tink posortowaną według wersji językowej:
Więcej informacji o poszczególnych znanych problemach znajdziesz w linkach w tabelach.
Java (z wyjątkiem Androida)
Tink Java korzysta z podstawowego dostawcy zabezpieczeń, takiego jak Conscrypt, Oracle JDK, OpenJDK lub Bouncy Castle. Każdy problem z bezpieczeństwem u dostawcy może być dziedziczony w Tink Java.
Zalecamy używanie biblioteki Tink z najnowszą wersją dostawcy, zwłaszcza jeśli używasz algorytmu ECDSA (alternatywnie: ED25519) lub AES-GCM (alternatywnie: AES-EAX, AES-CTR-HMAC-AEAD lub XChaCha20-Poly1305).
| Znany problem | Wersje, których dotyczy problem |
|---|---|
| Streaming AEAD: Integer overflow | 1.0.0–1.3.0 |
| Envelope AEAD: Malleability | Wszystkie |
| Bezpieczeństwo widelca | Wszystkie |
Android
Na Androidzie Tink domyślnie używa biblioteki Conscrypt dostarczanej przez GMS Core, a w innych przypadkach – biblioteki Conscrypt. Każdy problem z bezpieczeństwem u dostawcy może być dziedziczony w Tink.
Zalecamy korzystanie z Tink w najnowszej wersji dostawcy.
Najniższa obsługiwana wersja Androida jest opisana na stronie konfiguracji.
| Znany problem | Wersje Tink objęte problemem | Poziomy interfejsu API Androida, których dotyczy problem |
|---|---|---|
| Streaming AEAD: Integer overflow | 1.0.0–1.3.0 | Wszystkie |
| Envelope AEAD: Malleability | Wszystkie | Wszystkie |
| Bezpieczeństwo widelca | Wszystkie | Wszystkie |
C++
Tink C++ używa jako biblioteki bazowej BoringSSL lub OpenSSL. Wszelkie problemy z bezpieczeństwem w bibliotece bazowej mogą być dziedziczone w Tink C++.
| Znany problem | Wersje, których dotyczy problem |
|---|---|
| Atak DoS polegający na analizie JSON | 1.0.0–2.1.3 |
| Subtelne AEAD: AES-CTR-HMAC i EncryptThenAuthenticate | 1.0.0–1.3.0 |
| Envelope AEAD: Malleability | Wszystkie |
| Bezpieczeństwo widelca | Wszystkie |
Python
Tink Python to otoka biblioteki Tink C++ korzystająca z pybind11. Każdy problem z bezpieczeństwem w Tink C++ może być dziedziczony w Tink Python.
| Znany problem | Wersje, których dotyczy problem |
|---|---|
| Envelope AEAD: Malleability | Wszystkie |
| Bezpieczeństwo widelca | Wszystkie |
Go
Tink Go korzysta z bibliotek kryptograficznych Go. Wszelkie problemy dotyczące bezpieczeństwa w tych bibliotekach mogą być dziedziczone przez Tink Go.
| Znany problem | Wersje, których dotyczy problem |
|---|---|
| Streaming AEAD: Integer overflow | 1.0.0–1.3.0 |
| Envelope AEAD: Malleability | Wszystkie |
| Bezpieczeństwo widelca | Wszystkie |
Objective-C
Tink Objective-C to otoczka Tink C++. Wszelkie problemy z bezpieczeństwem w Tink C++ mogą być dziedziczone w Tink Objective-C.
| Znany problem | Wersje, których dotyczy problem |
|---|---|
| Envelope AEAD: Malleability | Wszystkie |
| Bezpieczeństwo widelca | Wszystkie |