Tink 設定

您可以從原始碼建構 Tink,也可以使用特定語言的套件。請按照下列操作說明開始使用。

安裝及設定 Tink 後,請繼續執行本頁底部的後續步驟

C++

Tink 提供下列 C++ 程式庫:

Tink C++ (tink-cc)

Tink C++ 會依賴以下項目:

Tink C++ 支援:

  • C++ 14 以上
  • OS:
    • UbuntuLTS >= 20.04 (x86_64)
    • macOS 12.5 以上版本 (x86_64)
    • Windows Server 2019 以上版本 (x86_64)
  • 編譯器:
    • GCC 7.5.0 以上版本
    • Apple Clang 14 以上
    • MSVC >= 2019
  • 建構系統:

CMake

您應將 tink-cc 新增為樹狀結構中的依附元件。例如:

cmake_minimum_required(VERSION 3.13)
project(YourProject CXX)
set(CMAKE_CXX_STANDARD_REQUIRED ON)
set(CMAKE_CXX_STANDARD 14)
include(FetchContent)

# Import Tink as an in-tree dependency.
FetchContent_Declare(
  tink
  URL       https://github.com/tink-crypto/tink-cc/archive/refs/tags/v2.3.0.zip
  URL_HASH  SHA256=363ce671ab5ce0b24f279d3647185597a25f407c3608db007315f79f151f436b
)
FetchContent_GetProperties(tink)
if(NOT googletest_POPULATED)
  FetchContent_Populate(tink)
    add_subdirectory(${tink_SOURCE_DIR} ${tink_BINARY_DIR} EXCLUDE_FROM_ALL)
endif()

add_executable(your_app your_app.cc)
target_link_libraries(your_app tink::static)

Bazel

Bzlmod

如果您使用 搭配模組的 Bazel,請在 MODULE.bazel 檔案中新增下列內容:

bazel_dep(name = "tink_cc", version = "2.3.0")

工作區

如果您使用 Bazel 搭配 WORKSPACE 檔案,請在 WORKSPACE 檔案中新增下列內容:

load("@bazel_tools//tools/build_defs/repo:http.bzl", "http_archive")

http_archive(
    name = "tink_cc",
    urls = ["https://github.com/tink-crypto/tink-cc/archive/refs/tags/v2.3.0.zip"],
    strip_prefix = "tink-2.3.0",
    sha256 = "363ce671ab5ce0b24f279d3647185597a25f407c3608db007315f79f151f436b",
)

load("@tink_cc//:tink_cc_deps.bzl", "tink_cc_deps")

tink_cc_deps()

load("@tink_cc//:tink_cc_deps_init.bzl", "tink_cc_deps_init")

tink_cc_deps_init()

Tink C++ AWS KMS 擴充功能 (tink-cc-awskms)

Tink C++ Google Cloud KMS 會依賴以下項目:

Tink C++ AWS KMS 支援:

  • C++ 14 以上
  • OS:
    • UbuntuLTS >= 20.04 (x86_64)
    • macOS 12.5 以上版本 (x86_64)
  • 編譯器:
    • GCC 7.5.0 以上版本
    • Apple Clang 14 以上
  • 建構系統:

Bazel

您應在專案的 WORKSPACE 檔案中加入以下內容:

load("@bazel_tools//tools/build_defs/repo:http.bzl", "http_archive")

http_archive(
    name = "tink_cc",
    urls = ["https://github.com/tink-crypto/tink-cc/archive/refs/tags/v2.3.0.zip"],
    strip_prefix = "tink-2.3.0",
    sha256 = "363ce671ab5ce0b24f279d3647185597a25f407c3608db007315f79f151f436b",
)

load("@tink_cc//:tink_cc_deps.bzl", "tink_cc_deps")

tink_cc_deps()

load("@tink_cc//:tink_cc_deps_init.bzl", "tink_cc_deps_init")

tink_cc_deps_init()

http_archive(
    name = "tink_cc_awskms",
    urls = ["https://github.com/tink-crypto/tink-cc-awskms/archive/refs/tags/v2.0.1.zip"],
    strip_prefix = "tink-cc-awskms-2.0.1",
    sha256 = "366319b269f62af120ee312ce4c99ce3738ceb23ce3f9491b4859432f8b991a4",
)

load("@tink_cc_awskms//:tink_cc_awskms_deps.bzl", "tink_cc_awskms_deps")

tink_cc_awskms_deps()

Tink C++ Google Cloud KMS 擴充功能 (tink-cc-gcpkms)

Tink C++ Google Cloud KMS 會依賴以下項目:

Tink C++ Google Cloud KMS 支援:

  • C++ 14 以上
  • OS:
    • UbuntuLTS >= 20.04 (x86_64)
    • macOS 12.5 以上版本 (x86_64)
  • 編譯器:
    • GCC 7.5.0 以上版本
    • Apple Clang 14 以上
  • 建構系統:

Bazel

您應在專案的 WORKSPACE 檔案中加入以下內容:

load("@bazel_tools//tools/build_defs/repo:http.bzl", "http_archive")

http_archive(
    name = "tink_cc_gcpkms",
    urls = ["https://github.com/tink-crypto/tink-cc-gcpkms/releases/download/v2.2.0/tink-cc-gcpkms-2.2.0.zip"],
    strip_prefix = "tink-cc-gcpkms-2.2.0",
    sha256 = "ffb9d05c64ca28b5eb54fe79e7c3f93fad68f00e45f74f6b9ce1bd3a32b3d6fd",
)

load("@tink_cc_gcpkms//:tink_cc_gcpkms_deps.bzl", "tink_cc_gcpkms_deps")

tink_cc_gcpkms_deps()

load("@tink_cc_gcpkms//:tink_cc_gcpkms_deps_init.bzl", "tink_cc_gcpkms_deps_init")

tink_cc_gcpkms_deps_init(register_go = True)

Go

Tink 提供下列 Go 程式庫:

所有 Tink Go 程式庫都會以 Go 模組的形式發布,可搭配標準 Go 工具Bazel 使用。

Tink Go (tink-go)

Go 工具

在專案目錄中執行下列指令:

go get github.com/tink-crypto/tink-go/v2@v2.2.0

請參閱官方的 Go 說明文件

Tink Go AWS KMS 擴充功能 (tink-go-awskms)

Go 工具

在專案目錄中執行下列指令:

go get github.com/tink-crypto/tink-go-awskms/v2@2.1.0

請參閱官方的 Go 說明文件

Tink Go Google Cloud KMS 擴充功能 (tink-go-gcpkms)

Go 工具

在專案目錄中執行下列指令:

go get github.com/tink-crypto/tink-go-gcpkms/v2@v2.2.0

請參閱官方的 Go 說明文件

Tink Go HashiCorp Vault 擴充功能 (tink-go-hcvault)

Go 工具

在專案目錄中執行下列指令:

go get github.com/tink-crypto/tink-go-hcvault/v2@v2.2.0

請參閱官方的 Go 說明文件

Java

Tink 提供下列 Java 程式庫:

Java 版的 Tink 支援 Java 8 以上版本。您可以將 Tink Java Maven 構件納入 Maven 或 Gradle 專案,也可以使用 Bazel

從 API 級別 24 開始,Tink Android 可完全支援。從 API 級別 21 開始,Tink 的大部分部分都應可正常運作。在 API 級別 21 中,Tink 無法立即執行的部分如下:

  • JWT 程式庫會使用 java.util.Optional 等類別,因此需要 API 級別 24。您可以透過去除糖衣來避免這項限制。
  • com.google.crypto.tink.integration.android 中的類別只有在 API 級別 23 以上才會完整測試。
  • com.google.crypto.tink.streamingaead 中的部分 API 會使用 SeekableByteBufferChannel,但 SeekableByteBufferChannel 僅適用於 API 級別 24。

請注意,基於技術因素,我們只會在 Google 內部基礎架構上測試 Android 版 Tink。我們不預期會因為這個問題而發生任何問題,但如果您遇到任何問題,請提出問題。

Tink Android 不需要 ProGuard 設定。

Tink Java (tink-java)

Maven

您可以使用 Maven 納入 Tink Java 和 Tink Android 程式庫:

<dependency>
  <groupId>com.google.crypto.tink</groupId>
  <artifactId>tink</artifactId>
  <version>1.15.0</version>
</dependency>

如果您指定 Android 為目標,可以使用下列方式從 Gradle 使用 tink-android

dependencies {
  implementation 'com.google.crypto.tink:tink-android:1.15.0'
}

Bazel

Bazel 使用者可透過在 WORKSPACE 檔案中使用 rules_jvm_external 工具安裝 Maven 發布成果,將 Tink Java 新增為依附元件:

load("@bazel_tools//tools/build_defs/repo:http.bzl", "http_archive")

RULES_JVM_EXTERNAL_TAG = "6.1"
RULES_JVM_EXTERNAL_SHA ="d31e369b854322ca5098ea12c69d7175ded971435e55c18dd9dd5f29cc5249ac"

http_archive(
    name = "rules_jvm_external",
    strip_prefix = "rules_jvm_external-%s" % RULES_JVM_EXTERNAL_TAG,
    sha256 = RULES_JVM_EXTERNAL_SHA,
    url = "https://github.com/bazelbuild/rules_jvm_external/releases/download/%s/rules_jvm_external-%s.tar.gz" % (RULES_JVM_EXTERNAL_TAG, RULES_JVM_EXTERNAL_TAG)
)

load("@rules_jvm_external//:repositories.bzl", "rules_jvm_external_deps")

rules_jvm_external_deps()

load("@rules_jvm_external//:setup.bzl", "rules_jvm_external_setup")

rules_jvm_external_setup()

load("@rules_jvm_external//:defs.bzl", "maven_install")

maven_install(
    artifacts = [
        "com.google.crypto.tink:tink:1.15.0",
        # ... other dependencies ...
    ],
    repositories = [
        "https://maven.google.com",
        "https://repo1.maven.org/maven2",
    ],
)

如果您想從來源建構 tink-java,例如將特定版本釘選,可以將其納入 WORKSPACE 檔案中的 http_archive

load("@bazel_tools//tools/build_defs/repo:http.bzl", "http_archive")

TINK_COMMIT="f4127f6b6ab9c367d41ade1f50db6f0ef9909044"
TINK_SHA256="e246f848f7749e37f558955ecb50345b04d79ddb9d8d1e8ae19f61e8de530582"

http_archive(
    name = "tink_java",
    urls = ["https://github.com/tink-crypto/tink-java/archive/%s.zip" % TINK_COMMIT],
    strip_prefix = "tink-%s" % TINK_COMMIT,
    sha256 = TINK_SHA256
)

load("@tink_java//:tink_java_deps.bzl", "TINK_MAVEN_ARTIFACTS", "tink_java_deps")

tink_java_deps()

load("@tink_java//:tink_java_deps_init.bzl", "tink_java_deps_init")

tink_java_deps_init()

# rules_jvm_external is imported and initialized by tink_java_deps and
# tink_java_deps_init.
load("@rules_jvm_external//:defs.bzl", "maven_install")

maven_install(
  artifacts = TINK_MAVEN_ARTIFACTS + # ... other dependencies ...
  repositories = [
      "https://maven.google.com",
      "https://repo1.maven.org/maven2",
  ],
)

Tink Java AWS KMS 擴充功能 (tink-java-awskms)

Maven

您可以使用 Maven 納入 Tink Java 和 Tink Android 程式庫:

<dependencies>
  <dependency>
    <groupId>com.google.crypto.tink</groupId>
    <artifactId>tink-awskms</artifactId>
    <version>1.10.1</version>
  </dependency>
</dependencies>

Bazel

您可以使用 rules_jvm_external 工具,將 com.google.crypto.tink:tink-awskms Maven 構件與 com.google.crypto.tink:tink 一併安裝。

# ...

maven_install(
    artifacts = [
        "com.google.crypto.tink:tink:1.15.0",
        "com.google.crypto.tink:tink-awskms:1.10.1",
        # ... other dependencies ...
    ],
    repositories = [
        "https://maven.google.com",
        "https://repo1.maven.org/maven2",
    ],
)

或者,您也可以將其納入為 http_archive 依附元件:

# ...

http_archive(
    name = "tink_java",
    urls = ["https://github.com/tink-crypto/tink-java/releases/download/v1.15.0/tink-java-1.15.0.zip"],
    strip_prefix = "tink-java-1.15.0",
    sha256 = "e246f848f7749e37f558955ecb50345b04d79ddb9d8d1e8ae19f61e8de530582",
)

load("@tink_java//:tink_java_deps.bzl", "TINK_MAVEN_ARTIFACTS", "tink_java_deps")

tink_java_deps()

load("@tink_java//:tink_java_deps_init.bzl", "tink_java_deps_init")

tink_java_deps_init()

http_archive(
    name = "tink_java_awskms",
    urls = ["https://github.com/tink-crypto/tink-java-awskms/releases/download/v1.10.1/tink-java-awskms-1.10.1.zip"],
    strip_prefix = "tink-java-awskms-1.10.1",
    sha256 = "5f08f3a343fb2028784ee2344e102cf4f753b4d23252318b3f8ac48208d3e2fa",
)

load("@tink_java_awskms//:tink_java_awskms_deps.bzl", "TINK_JAVA_AWSKMS_MAVEN_ARTIFACTS")

maven_install(
    artifacts = TINK_MAVEN_ARTIFACTS + TINK_JAVA_AWSKMS_MAVEN_ARTIFACTS + [
        # ... other dependencies ...
    ],
    repositories = [
        "https://maven.google.com",
        "https://repo1.maven.org/maven2",
    ],
)

Tink Java Google Cloud KMS 擴充功能 (tink-java-gcpkms)

Maven

<dependencies>
  <dependency>
    <groupId>com.google.crypto.tink</groupId>
    <artifactId>tink-gcpkms</artifactId>
    <version>1.10.0/version>
  </dependency>
</dependencies>

Bazel

您可以使用 rules_jvm_external 工具,將 com.google.crypto.tink:tink-gcpkms Maven 構件與 com.google.crypto.tink:tink 一併安裝。

# ...

maven_install(
    artifacts = [
        "com.google.crypto.tink:tink:1.15.0",
        "com.google.crypto.tink:tink-gcpkms:1.10.0",
        # ... other dependencies ...
    ],
    repositories = [
        "https://maven.google.com",
        "https://repo1.maven.org/maven2",
    ],
)

或者,您也可以將其納入為 http_archive 依附元件:

# ...

http_archive(
    name = "tink_java",
    urls = ["https://github.com/tink-crypto/tink-java/releases/download/v1.15.0/tink-java-1.15.0.zip"],
    strip_prefix = "tink-java-1.15.0",
    sha256 = "e246f848f7749e37f558955ecb50345b04d79ddb9d8d1e8ae19f61e8de530582",
)

load("@tink_java//:tink_java_deps.bzl", "TINK_MAVEN_ARTIFACTS", "tink_java_deps")

tink_java_deps()

load("@tink_java//:tink_java_deps_init.bzl", "tink_java_deps_init")

tink_java_deps_init()

http_archive(
    name = "tink_java_gcpkms",
    urls = ["https://github.com/tink-crypto/tink-java-gcpkms/releases/download/v1.10.0/tink-java-gcpkms-1.10.0.zip"],
    strip_prefix = "tink-java-gcpkms-1.10.0",
    sha256 = "ad85625cc4409f2f6ab13a8eef39c965501585e9323d59652cce322b3d2c09a2",
)

load("@tink_java_gcpkms//:tink_java_gcpkms_deps.bzl", "TINK_JAVA_GCPKMS_MAVEN_ARTIFACTS")

maven_install(
    artifacts =  TINK_MAVEN_ARTIFACTS + TINK_JAVA_GCPKMS_MAVEN_ARTIFACTS + [
        # ... other dependencies ...
    ],
    repositories = [
        "https://maven.google.com",
        "https://repo1.maven.org/maven2",
    ],
)

Tink Java 應用程式擴充功能 (tink-java-apps)

Maven

<dependency>
  <groupId>com.google.crypto.tink</groupId>
  <artifactId>apps-webpush</artifactId>
  <version>1.11.0</version>
</dependency>

<dependency>
  <groupId>com.google.crypto.tink</groupId>
  <artifactId>apps-paymentmethodtoken</artifactId>
  <version>1.11.0</version>
</dependency>

<dependency>
  <groupId>com.google.crypto.tink</groupId>
  <artifactId>apps-rewardedads</artifactId>
  <version>1.11.0</version>
</dependency>

Bazel

您可以使用 rules_jvm_external 工具安裝任何 com.google.crypto.tink:apps-* Maven 構件。

# ...

maven_install(
    artifacts = [
        "com.google.crypto.tink:apps-webpush:1.11.0",
        "com.google.crypto.tink:apps-paymentmethodtoken:1.11.0",
        "com.google.crypto.tink:apps-rewardedads:1.11.0",
        # ... other dependencies ...
    ],
    repositories = [
        "https://maven.google.com",
        "https://repo1.maven.org/maven2",
    ],
)

ObjC

請參閱 GitHub 上的操作說明

Python

Tink Python 程式庫 tink-py 支援 macOS (x86-64 和 ARM64)、Linux (x86-64 和 ARM64) 和 Windows (x86-64) 上的 Python 3.8 以上版本。最新版本為 1.10.0。您可以使用 Pip 在本機安裝,也可以搭配 Bazel 使用。

Tink Python 提供與 AWS KMSGoogle Cloud KMSHashiCorp Vault 的整合功能。

Pip

您可以執行下列指令,從 PyPI 為系統安裝 Tink Python 二進位版本:

pip3 install tink==1.10.0
# Core Tink + Google Cloud KMS extension.
pip3 install tink[gcpkms]==1.10.0
# Core Tink + AWS KMS extension.
pip3 install tink[awskms]==1.10.0
# Core Tink + HashiCorp Vault KMS extension.
pip3 install tink[hcvault]==1.10.0
# Core Tink + all the KMS extensions.
pip3 install tink[all]==1.10.0

如果沒有為您的環境發布二進位元檔案包,pip 會自動改用發布至 PyPI 的原始碼發布來建構專案。在這種情況下,您必須安裝 BazelBazelisk,以及 protobuf 編譯器,才能順利建構專案。

Bazel

Bazel 使用者可以在 WORKSPACE 檔案中納入 Tink Python,如下所示:

load("@bazel_tools//tools/build_defs/repo:http.bzl", "http_archive")

http_archive(
    name = "tink_py",
    urls = ["https://github.com/tink-crypto/tink-py/releases/download/v1.10.0/tink-py-1.10.0.zip"],
    strip_prefix = "tink-py-1.10.0",
    sha256 = "767453aae4aad6de4fbb4162992184aa427b7b27864fe9912c270b24c673e1cc",
)

load("@tink_py//:tink_py_deps.bzl", "tink_py_deps")
tink_py_deps()

load("@rules_python//python:repositories.bzl", "py_repositories")
py_repositories()

load("@tink_py//:tink_py_deps_init.bzl", "tink_py_deps_init")
tink_py_deps_init("tink_py")

後續步驟

完成 Tink 設定後,請繼續執行標準的 Tink 使用步驟:

  • 選擇原始元素:根據用途決定要使用的原始元素
  • 管理金鑰:使用外部 KMS 保護金鑰、產生金鑰組合,以及輪替金鑰