Bekannte Probleme

Auf dieser Seite sind bekannte Probleme in Tink nach Sprachversion sortiert aufgeführt:

Über die Links in den Tabellen erhalten Sie weitere Informationen zu den einzelnen bekannten Problemen.

Java (außer Android)

Tink Java verwendet einen zugrunde liegenden Sicherheitsanbieter wie Conscrypt, Oracle JDK, OpenJDK oder Bouncy Castle. Jedes Sicherheitsproblem bei einem Anbieter kann in Tink Java übernommen werden.

Wir empfehlen, Tink mit der neuesten Version des Anbieters zu verwenden, insbesondere wenn Sie ECDSA (Alternative: ED25519) oder AES-GCM (Alternativen: AES-EAX, AES-CTR-HMAC-AEAD oder XChaChaCha20-Poly1305) nutzen.

Bekanntes Problem Betroffene Versionen
Streaming AEAD: Ganzzahlüberlauf 1.0.0–1.3.0
Envelope AEAD: Malleability Alle
Gabelsicherheit Alle

Android

Tink unterstützt mindestens das API-Level 19 (Android KitKat).

Unter Android verwendet Tink standardmäßig den vom GMS-Kern bereitgestellten Conscrypt, ansonsten Conscrypt. Sicherheitsprobleme bei einem Anbieter können in Tink übernommen werden.

Wir empfehlen, Tink mit der neuesten Version des Anbieters zu verwenden.

Bekanntes Problem Betroffene Tink- Versionen Betroffene Android-API-Ebenen
Streaming AEAD: Ganzzahlüberlauf 1.0.0 bis 1.3.0 Alle
Envelope AEAD: Malleability Alle Alle
Gabelsicherheit Alle Alle
AesGcm Alle <= 19
Nicht unterstützt (siehe oben) Alle <= 18

C++

Tink C++ nutzt entweder BoringSSL oder OpenSSL als zugrunde liegende Bibliothek. Alle Sicherheitsprobleme in der zugrunde liegenden Bibliothek können in Tink C++ übernommen werden.

Bekanntes Problem Betroffene Versionen
JSON-Parsing-DoS 1.0.0–2.1.3
Subtle AEAD: AES-CTR-HMAC und EncryptThenAuthenticate 1.0.0–1.3.0
Envelope AEAD: Malleability Alle
Gabelsicherheit Alle

Python

Tink Python ist ein Wrapper um Tink C++ mit pybind11. Alle Sicherheitsprobleme in Tink C++ können in Tink Python übernommen werden.

Bekanntes Problem Betroffene Versionen
Envelope AEAD: Malleability Alle
Gabelsicherheit Alle

Ok

Tink Go verwendet die zugrunde liegenden Kryptobibliotheken von Go. Alle Sicherheitsprobleme in diesen Bibliotheken können von Tink Go übernommen werden.

Bekanntes Problem Betroffene Versionen
Streaming AEAD: Ganzzahlüberlauf 1.0.0–1.3.0
Envelope AEAD: Malleability Alle
Gabelsicherheit Alle

Objective-C

Tink Objective-C ist ein Wrapper um Tink C++. Alle Sicherheitsprobleme in Tink C++ können in Tink Objective-C übernommen werden.

Bekanntes Problem Betroffene Versionen
Envelope AEAD: Malleability Alle
Gabelsicherheit Alle