ความปลอดภัยของการโคลนส้อมและ VM
- เวอร์ชันที่ได้รับผลกระทบ
- Tink ทุกเวอร์ชัน
- ประเภทคีย์ที่ได้รับผลกระทบ
- สตรีมมิง AEAD, AES-GCM-HKDF
คำอธิบาย
โดยทั่วไป Tink ไม่ได้มีเป้าหมายในการรักษาความปลอดภัยหากโปรแกรมเรียกใช้การเรียกใช้ระบบ UNIX fork() หรือหากโปรแกรมมีการโคลนบนเครื่องเสมือนแล้วดำเนินการหลายครั้งจากสถานะเดียวกัน
ปัญหาที่เป็นรูปธรรมเพียงอย่างเดียวที่ทราบคือการสตรีม AEAD ซึ่งเป็นประเภทคีย์ AES-GCM-HKDF ในกรณีนี้ การโจมตีดังกล่าวอาจทำให้ Tink เข้ารหัสข้อความธรรมดาที่ต่างกันด้วย AES GCM โดยใช้ค่าฐานเดียวกัน ซึ่งเป็นที่รู้กันว่าคีย์การตรวจสอบสิทธิ์ทำให้ Tink รั่วไหล
เนื้อหาของหน้าเว็บนี้ได้รับอนุญาตภายใต้ใบอนุญาตที่ต้องระบุที่มาของครีเอทีฟคอมมอนส์ 4.0 และตัวอย่างโค้ดได้รับอนุญาตภายใต้ใบอนุญาต Apache 2.0 เว้นแต่จะระบุไว้เป็นอย่างอื่น โปรดดูรายละเอียดที่นโยบายเว็บไซต์ Google Developers Java เป็นเครื่องหมายการค้าจดทะเบียนของ Oracle และ/หรือบริษัทในเครือ
อัปเดตล่าสุด 2023-12-01 UTC
[null,null,["อัปเดตล่าสุด 2023-12-01 UTC"],[[["Tink does not guarantee security if the program uses UNIX `fork()` or is cloned and executed multiple times from the same state on a virtual machine."],["The known vulnerability affects all Tink versions and specifically impacts the Streaming AEAD key type, AES-GCM-HKDF."],["Exploiting this vulnerability with Streaming AEAD (AES-GCM-HKDF) can lead to plaintext encryption using the same nonce, potentially revealing the authentication key."]]],[]]
