Cette page liste les problèmes connus dans Tink, triés par version de langue:
Cliquez sur les liens fournis dans les tableaux pour en savoir plus sur les différents problèmes connus.
Java (sauf Android)
Tink Java utilise un fournisseur de sécurité sous-jacent, tel que Conscrypt, Oracle JDK, OpenJDK ou Bouncy Castle. Tout problème de sécurité rencontré par un fournisseur peut être hérité dans Tink Java.
Nous vous recommandons d'utiliser Tink avec la dernière version du fournisseur, en particulier si vous utilisez ECDSA (alternative: ED25519) ou AES-GCM (alternatives: AES-EAX, AES-CTR-HMAC-AEAD ou XChaCha20-Poly1305).
| Problème connu | Versions concernées |
|---|---|
| AEAD en flux continu: dépassement d'entiers | 1.0.0 à 1.3.0 |
| AEAD Enveloppe : Malléabilité | Toutes |
| Sécurité à la fourchette | Toutes |
Android
Le niveau d'API minimal compatible avec Tink est 19 (Android KitKat).
Sur Android, Tink utilise par défaut la clé Conscrypt fournie par GMS Core. Sinon, elle utilise Conscrypt. Tout problème de sécurité rencontré par un fournisseur peut être hérité dans Tink.
Nous vous recommandons d'utiliser Tink avec la dernière version du fournisseur.
| Problème connu | Versions de Tink concernées | Niveaux d'API Android concernés |
|---|---|---|
| AEAD en flux continu: dépassement d'entiers | 1.0.0 à 1.3.0 | Toutes |
| AEAD Enveloppe : Malléabilité | Toutes | Toutes |
| Sécurité à la fourchette | Toutes | Toutes |
| AesGcm | Toutes | <= 19 |
| Non compatible (voir ci-dessus) | Toutes | <= 18 |
C++
Tink C++ utilise BoringSSL ou OpenSSL comme bibliothèque sous-jacente. Tout problème de sécurité rencontré dans la bibliothèque sous-jacente peut être hérité dans Tink C++.
| Problème connu | Versions concernées |
|---|---|
| Analyse DoS JSON | 1.0.0 à 2.1.3 |
| AEAD subtile: AES-CTR-HMAC etEncryptthenAuthenticate | 1.0.0 à 1.3.0 |
| AEAD Enveloppe : Malléabilité | Toutes |
| Sécurité à la fourchette | Toutes |
Python
Tink Python est un wrapper autour de Tink C++ utilisant pybind11. Tout problème de sécurité dans Tink C++ peut être hérité dans Tink Python.
| Problème connu | Versions concernées |
|---|---|
| AEAD Enveloppe : Malléabilité | Toutes |
| Sécurité à la fourchette | Toutes |
Go
Tink Go utilise les bibliothèques de chiffrement Go sous-jacentes. Tous les problèmes de sécurité dans ces bibliothèques peuvent être hérités par Tink Go.
| Problème connu | Versions concernées |
|---|---|
| AEAD en flux continu: dépassement d'entiers | 1.0.0 à 1.3.0 |
| AEAD Enveloppe : Malléabilité | Toutes |
| Sécurité à la fourchette | Toutes |
Objective-C
Tink Objective-C est un wrapper pour Tink C++. Tout problème de sécurité dans Tink Objective-C peut être hérité dans Tink Objective-C.
| Problème connu | Versions concernées |
|---|---|
| AEAD Enveloppe : Malléabilité | Toutes |
| Sécurité à la fourchette | Toutes |