Problèmes connus

Cette page liste les problèmes connus dans Tink, triés par version de langue:

Cliquez sur les liens fournis dans les tableaux pour en savoir plus sur les différents problèmes connus.

Java (sauf Android)

Tink Java utilise un fournisseur de sécurité sous-jacent, tel que Conscrypt, Oracle JDK, OpenJDK ou Bouncy Castle. Tout problème de sécurité rencontré par un fournisseur peut être hérité dans Tink Java.

Nous vous recommandons d'utiliser Tink avec la dernière version du fournisseur, en particulier si vous utilisez ECDSA (alternative: ED25519) ou AES-GCM (alternatives: AES-EAX, AES-CTR-HMAC-AEAD ou XChaCha20-Poly1305).

Problème connu Versions concernées
AEAD en flux continu: dépassement d'entiers 1.0.0 à 1.3.0
AEAD Enveloppe : Malléabilité Toutes
Sécurité à la fourchette Toutes

Android

Le niveau d'API minimal compatible avec Tink est 19 (Android KitKat).

Sur Android, Tink utilise par défaut la clé Conscrypt fournie par GMS Core. Sinon, elle utilise Conscrypt. Tout problème de sécurité rencontré par un fournisseur peut être hérité dans Tink.

Nous vous recommandons d'utiliser Tink avec la dernière version du fournisseur.

Problème connu Versions de Tink concernées Niveaux d'API Android concernés
AEAD en flux continu: dépassement d'entiers 1.0.0 à 1.3.0 Toutes
AEAD Enveloppe : Malléabilité Toutes Toutes
Sécurité à la fourchette Toutes Toutes
AesGcm Toutes <= 19
Non compatible (voir ci-dessus) Toutes <= 18

C++

Tink C++ utilise BoringSSL ou OpenSSL comme bibliothèque sous-jacente. Tout problème de sécurité rencontré dans la bibliothèque sous-jacente peut être hérité dans Tink C++.

Problème connu Versions concernées
Analyse DoS JSON 1.0.0 à 2.1.3
AEAD subtile: AES-CTR-HMAC etEncryptthenAuthenticate 1.0.0 à 1.3.0
AEAD Enveloppe : Malléabilité Toutes
Sécurité à la fourchette Toutes

Python

Tink Python est un wrapper autour de Tink C++ utilisant pybind11. Tout problème de sécurité dans Tink C++ peut être hérité dans Tink Python.

Problème connu Versions concernées
AEAD Enveloppe : Malléabilité Toutes
Sécurité à la fourchette Toutes

Go

Tink Go utilise les bibliothèques de chiffrement Go sous-jacentes. Tous les problèmes de sécurité dans ces bibliothèques peuvent être hérités par Tink Go.

Problème connu Versions concernées
AEAD en flux continu: dépassement d'entiers 1.0.0 à 1.3.0
AEAD Enveloppe : Malléabilité Toutes
Sécurité à la fourchette Toutes

Objective-C

Tink Objective-C est un wrapper pour Tink C++. Tout problème de sécurité dans Tink Objective-C peut être hérité dans Tink Objective-C.

Problème connu Versions concernées
AEAD Enveloppe : Malléabilité Toutes
Sécurité à la fourchette Toutes