Auf dieser Seite sind bekannte Probleme in Tink nach Sprachversion sortiert aufgeführt:
Über die Links in den Tabellen erhalten Sie weitere Informationen zu den einzelnen bekannten Problemen.
Java (außer Android)
Tink Java verwendet einen zugrunde liegenden Sicherheitsanbieter wie Conscrypt, Oracle JDK, OpenJDK oder Bouncy Castle. Jedes Sicherheitsproblem bei einem Anbieter kann in Tink Java übernommen werden.
Wir empfehlen, Tink mit der neuesten Version des Anbieters zu verwenden, insbesondere wenn Sie ECDSA (Alternative: ED25519) oder AES-GCM (Alternativen: AES-EAX, AES-CTR-HMAC-AEAD oder XChaChaCha20-Poly1305) nutzen.
| Bekanntes Problem | Betroffene Versionen |
|---|---|
| Streaming AEAD: Ganzzahlüberlauf | 1.0.0–1.3.0 |
| Envelope AEAD: Malleability | Alle |
| Gabelsicherheit | Alle |
Android
Tink unterstützt mindestens das API-Level 19 (Android KitKat).
Unter Android verwendet Tink standardmäßig den vom GMS-Kern bereitgestellten Conscrypt, ansonsten Conscrypt. Sicherheitsprobleme bei einem Anbieter können in Tink übernommen werden.
Wir empfehlen, Tink mit der neuesten Version des Anbieters zu verwenden.
| Bekanntes Problem | Betroffene Tink- Versionen | Betroffene Android-API-Ebenen |
|---|---|---|
| Streaming AEAD: Ganzzahlüberlauf | 1.0.0 bis 1.3.0 | Alle |
| Envelope AEAD: Malleability | Alle | Alle |
| Gabelsicherheit | Alle | Alle |
| AesGcm | Alle | <= 19 |
| Nicht unterstützt (siehe oben) | Alle | <= 18 |
C++
Tink C++ nutzt entweder BoringSSL oder OpenSSL als zugrunde liegende Bibliothek. Alle Sicherheitsprobleme in der zugrunde liegenden Bibliothek können in Tink C++ übernommen werden.
| Bekanntes Problem | Betroffene Versionen |
|---|---|
| JSON-Parsing-DoS | 1.0.0–2.1.3 |
| Subtle AEAD: AES-CTR-HMAC und EncryptThenAuthenticate | 1.0.0–1.3.0 |
| Envelope AEAD: Malleability | Alle |
| Gabelsicherheit | Alle |
Python
Tink Python ist ein Wrapper um Tink C++ mit pybind11. Alle Sicherheitsprobleme in Tink C++ können in Tink Python übernommen werden.
| Bekanntes Problem | Betroffene Versionen |
|---|---|
| Envelope AEAD: Malleability | Alle |
| Gabelsicherheit | Alle |
Ok
Tink Go verwendet die zugrunde liegenden Kryptobibliotheken von Go. Alle Sicherheitsprobleme in diesen Bibliotheken können von Tink Go übernommen werden.
| Bekanntes Problem | Betroffene Versionen |
|---|---|
| Streaming AEAD: Ganzzahlüberlauf | 1.0.0–1.3.0 |
| Envelope AEAD: Malleability | Alle |
| Gabelsicherheit | Alle |
Objective-C
Tink Objective-C ist ein Wrapper um Tink C++. Alle Sicherheitsprobleme in Tink C++ können in Tink Objective-C übernommen werden.
| Bekanntes Problem | Betroffene Versionen |
|---|---|
| Envelope AEAD: Malleability | Alle |
| Gabelsicherheit | Alle |