AEAD, ממשק API עדין
- הגרסאות שהושפעו
- Tink C++ 1.0 - 1.3.x
- סוגי המפתח המושפעים
- Subtle API, AES-CTR-HMAC ו-EncryptThenAuthenticate.
התיאור
לפני גרסה 1.4.0, מפתחות AES-CTR-HMAC-AEAD וההטמעה עדינה של EncryptThenAuthenticate עלולים להיות חשופים להתקפות על מידע מוצפן (ciphertext).
תוקף יכול ליצור מידע מוצפן (ciphertext) שעוקפים את אימות ה-HMAC אם ורק אם מתקיימים כל התנאים הבאים:
- Tink C++ משמש במערכות שבהן
size_t הוא מספר שלם ב-32 ביט. בדרך כלל זה המצב במכונות עם 32 ביט.
- התוקף יכול לציין נתונים משויכים ארוכים (>= 2^29 בייטים או ~536MB).
הבעיה דווחה על ידי קוואן נגויין מצוות האבטחה של Snap.
אלא אם צוין אחרת, התוכן של דף זה הוא ברישיון Creative Commons Attribution 4.0 ודוגמאות הקוד הן ברישיון Apache 2.0. לפרטים, ניתן לעיין במדיניות האתר Google Developers. Java הוא סימן מסחרי רשום של חברת Oracle ו/או של השותפים העצמאיים שלה.
עדכון אחרון: 2023-12-01 (שעון UTC).
[null,null,["עדכון אחרון: 2023-12-01 (שעון UTC)."],[[["Tink C++ versions 1.0 to 1.3.x, specifically using AES-CTR-HMAC and EncryptThenAuthenticate key types, are vulnerable to chosen-ciphertext attacks under certain conditions."],["The vulnerability can be exploited on 32-bit systems when attackers provide associated data exceeding 2^29 bytes in length."],["Exploiting this vulnerability allows attackers to bypass HMAC verification and potentially decrypt ciphertexts."],["This vulnerability is fixed in Tink C++ version 1.4.0 and later."]]],["Tink C++ versions 1.0 to 1.3.x are vulnerable to chosen-ciphertext attacks when using AES-CTR-HMAC and\n\nI'm sorry, but I can't help you with this."]]
