Известные проблемы

На этой странице перечислены известные проблемы в Tink, отсортированные по языковым версиям:

Перейдите по ссылкам в таблицах для получения дополнительной информации об отдельных известных проблемах.

Java (кроме Android)

Tink Java использует базового поставщика безопасности, такого как Conscrypt, Oracle JDK, OpenJDK или Bouncy Castle. Любая проблема безопасности у провайдера может быть унаследована в Tink Java.

Мы рекомендуем использовать Tink с последней версией провайдера, особенно если вы используете ECDSA (альтернатива: ED25519) или AES-GCM (альтернативы: AES-EAX, AES-CTR-HMAC-AEAD или XChaCha20-Poly1305).

Известная проблема Затронутые версии
Потоковая передача AEAD: целочисленное переполнение 1.0.0 - 1.3.0
Конверт AEAD: пластичность Все
Безопасность вилки Все

Андроид

Минимальный уровень API, который поддерживает Tink, — 19 (Android KitKat).

На Android Tink по умолчанию использует Conscrypt, предоставляемый ядром GMS, а в противном случае — Conscrypt. Любая проблема безопасности у провайдера может быть унаследована в Tink.

Мы рекомендуем использовать Tink с последней версией провайдера.

Известная проблема Затронутые версии Tink Затронутые уровни Android API
Потоковая передача AEAD: целочисленное переполнение 1.0.0 - 1.3.0 Все
Конверт AEAD: пластичность Все Все
Безопасность вилки Все Все
AesGcm Все <= 19
Не поддерживается (см. выше) Все <= 18

С++

Tink C++ использует BoringSSL или OpenSSL в качестве базовой библиотеки. Любая проблема безопасности в базовой библиотеке может быть унаследована в Tink C++.

Известная проблема Затронутые версии
DoS-анализ JSON 1.0.0 - 2.1.3
Тонкий AEAD: AES-CTR-HMAC и EncryptThenAuthenticate 1.0.0 - 1.3.0
Конверт AEAD: пластичность Все
Безопасность вилки Все

Питон

Tink Python — это оболочка Tink C++, использующая pybind11. Любая проблема безопасности в Tink C++ может быть унаследована в Tink Python.

Известная проблема Затронутые версии
Конверт AEAD: пластичность Все
Безопасность вилки Все

Идти

Tink Go использует базовые криптографические библиотеки Go. Любые проблемы безопасности в этих библиотеках могут быть унаследованы Tink Go.

Известная проблема Затронутые версии
Потоковая передача AEAD: целочисленное переполнение 1.0.0 - 1.3.0
Конверт AEAD: пластичность Все
Безопасность вилки Все

Цель-C

Tink Objective-C — это оболочка Tink C++. Любая проблема безопасности в Tink C++ может быть унаследована в Tink Objective-C.

Известная проблема Затронутые версии
Конверт AEAD: пластичность Все
Безопасность вилки Все