The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Google представил криптографическую библиотеку Tink"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google представил криптографическую библиотеку Tink"  +/
Сообщение от opennews (ok), 30-Авг-18, 23:36 
Компания Google представила (https://security.googleblog.com/2018/08/introducing-tink-cry...)  открытую криптографическую библиотеку Tink (https://github.com/google/tink),  нацеленную на предоставление простого для корректного применения криптографического API, при использовании которого трудно допустить ошибки, способные привести к снижению с безопасности. Предоставляется полноценная поддержка языков Java (в том числе для Android), C++ и Obj-C, а также экспериментальная поддержка  Go и JavaScript. Код поставляется под лицензией Apache 2.0 (https://github.com/google/tink).

Библиотека подготовлена командой, занимавшейся разработкой инструментария Wycheproof (https://www.opennet.ru/opennews/art.shtml?num=45725) и выявившей более 40 (https://github.com/google/wycheproof/blob/master/doc/bugs.md) уязвимостей и слабых мест в различных популярных криптографических библиотеках и реализациях алгоритмов шифрования. В результате данной работы родилась идея создания предельно простого API, который не позволял бы совершать ошибки, вызванные недопониманием работы алгоритмов шифрования, и который без риска для безопасности смогли бы использовать разработчики не имеющие опыта в криптографии.


В итоге появился проект Tink, сконцентрированный на сокращении числа потенциальных ошибок, которые могут появиться в результате ненадлежащего применения API, спроектированный с учётом опыта анализа слабых мест в различных реализациях алгоритмов шифрования, написанный с оглядкой на безопасность, прошедший жесткое рецензирование кода и досконально протестированный. В Google Tink уже применяется во многих внутренних проектах, таких как AdMob, Google Pay, Google Assistant, Firebase и Android Search App.


Основу программного интерфейса Tink составляет набор криптографических примитивов (https://github.com/google/tink/blob/master/docs/PRIMITIVES.md), каждый из которых охватывает определённую область без углубления в детали, например, для симметричного шифрования по ключу предлагается примитив AEAD, предоставляющий две операции - шифрование и расшифровка, и не требующий от разработчика выбора конкретных алгоритмов шифрования и определения их параметров. Перед использованием примитива выполняется его регистрация, после чего генерируется или загружается необходимый для операции набор ключей и привязывается к примитиву.

В настоящее время предлагаются следующие примитивы:


-  AEAD (Authenticated Encryption with Associated Data) - симметричное аутентифицированное шифрование по фиксированному ключу с опциональной возможностью прикрепления аутентифицированных, но не зашифрованных, связанных данных. Поддерживается как шифрование блоков, так и  потоков данных;
-  MAC (Message Authentication Codes) - коды аутентификации сообщений для обеспечения целостности и аутентификации источника данных;
-  Функции для создания цифровой подписи и её проверки (PublicKeySign и PublicKeyVerify);
-  Функции гибридного шифрования, сочетающие скорость симметричного шифрования с удобством шифрования по открытым ключам;


Каждый примитив поддерживает опции для работы в stateless-режиме (безопасный для многопоточных программ), с использованием безопасных операций копирования (copy-safe) и для применения ключей, длиной как минимум  128 бит. Доступен API для взаимодействия со внешними системами управления ключами, такими как Google Cloud KMS,  Amazon KMS, Android Keystore и  Apple iOS KeyChain.


URL: https://security.googleblog.com/2018/08/introducing-tink-cry...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49202

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Google представил криптографическую библиотеку Tink"  +8 +/
Сообщение от Ivan_83 (ok), 30-Авг-18, 23:36 
Очередная попытка зайти на нишу криптолиб, брингссл то никому не впёрся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Аноним (11), 31-Авг-18, 01:27 
Да, нормально все с ним. Просто ты его не используешь вот и все.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Google представил криптографическую библиотеку Tink"  –7 +/
Сообщение от Ivan_83 (ok), 31-Авг-18, 08:12 
Я у себя в коде пока TLS вообще не использую, но когда буду - LibreSSL. И порты у меня все с ним собраны.

А боринг за пределами гугла почти никто не юзает, можно сказать что он мёртв.
Как только гугль его забросит он помрёт.

NSS тоже не очень то популярен.
Всё потому что они выкидывают/не берут всё что не в ISO/RFC. Ещё боринг на плюсах, это тоже минус.
Боринг появился скорее всего потому, что гост зашёл в опенссл, а кой кому очень не хотелось и единственный способ был форкнуть.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Google представил криптографическую библиотеку Tink"  +3 +/
Сообщение от нах (?), 31-Авг-18, 09:30 
странная идея. libressl сделана людьми, нихрена не сумевшими в ней разобраться, всех достижений - героическое удаление "неправильного" кода, который нормальный (или нормально настроенный) софт не использует, и не менее героическая попытка сначала убедить всех поддерживать ненужнофорк, поломавший в ста элементарнейших местах совместимость, а потом лихорадочный патчинг чтобы вернуть ее назад, потому что большинство даже послать их нax поленились, просто игнорируют.

ни одной критической проблемы в openssl это им обойти не помогло.

Своя есть как минимум одна, крошки старательно заметены под коврик, все делают вид что проблемы нет.

> А боринг за пределами гугла почти никто не юзает

libressl за пределами полутора фанатских локалхостов openbsd (где выбора просто нет) тоже почти никто не юзает. Причем если пользователи boring еще имеют какие-то серьезные причины ей пользоваться (например последние ускорялки nginx, правда, тех кому оно на самом деле поможет, единицы) помимо "победы над ненужным кодом", то пользующие либру - это просто жертвы промывки мозгов. Уверен, они никогда даже не заглядывали в ее код.

> Боринг появился скорее всего потому, что гост зашёл в опенссл, а кой кому очень не хотелось

осспди, вот ведь бред какой... А выглядел вменяемым.

boring появился, потому что гуглю очень хочется зачем-то затащить всех в tls 1.3, и попутно позапрещать или шантажом вымутить полный отказ от всех предыдущих. (ну или ладно, сформулируем политкорректно - потому что гуглю надоело ждать этих тормозов и были нужны новые возможности и соврешенно не нужны большая часть legacy, им это дорого обходилось) Влияния на разработчиков не хватило, потому что это тюлени, на них никак нельзя повлиять, а своих для форка вполне хватает, а не хватит - индусы новых рожают каждые две секунды.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

43. "Google представил криптографическую библиотеку Tink"  –1 +/
Сообщение от Ivan_83 (ok), 01-Сен-18, 02:56 
Боринг появился сильно заранее чем TLS 1.3, не надо притягивать.

Касательно проблем - есть табличка сравнения, там явно видно что у LibreSSL косяков ощутимо меньше нашлось.
С LibreSSL (в отличии от боринга) у меня без проблем собирается софт.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

46. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от гугль (?), 01-Сен-18, 12:36 
машину времени мы пока еще не изобрели, приходится сначала делать форк, а потом реализовывать в нем новые-прекрасные идеи, а не наоборот.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

42. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Stax (ok), 01-Сен-18, 02:07 
LibreSSL тот еще тормоз - от 2 до 6 раз медленнее, чем OpenSSL. Не поддерживает крипто устройства, не умеет мультитредность и т.п. А вот BoringSSL хоть и отстает от OpenSSL, но максимум на десятки процентов, а никак не в разы.

https://calomel.org/aesni_ssl_performance.html

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

44. "Google представил криптографическую библиотеку Tink"  –1 +/
Сообщение от Ivan_83 (ok), 01-Сен-18, 03:00 
У меня нет мест где я бы упирался в скорость LibreSSL, и криптоустройств тоже нет.
Если либра отстаёт при использовании AES-NI то только потому что Тео активирует все подряд защиты при компеляции, а их там реально пачка, как и в OpenSSH.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

50. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от anonymous (??), 10-Сен-18, 10:46 
> А боринг за пределами гугла почти никто не юзает

https://github.com/openssl/openssl/commit/4b5f7e7555340db28b...

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

3. "Google представил криптографическую библиотеку Tink"  +8 +/
Сообщение от Отражение луны (ok), 30-Авг-18, 23:41 
Не смотря на мнение здешних хомяков Гугл очередной раз продемонстрировал, что  понимает основной источник избегаемых уязимостей - сам человек.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Google представил криптографическую библиотеку Tink"  +1 +/
Сообщение от Аноним (15), 31-Авг-18, 03:30 
Только доходило до него это долго, NaCl появился 10 лет назад. Чем кстати эта гуглоподелка лучше?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

37. "Google представил криптографическую библиотеку Tink"  +1 +/
Сообщение от Анончик (?), 31-Авг-18, 12:20 
Меньше доступа к низкоуровневым примитивам (соответственно, меньше всего может пойти не так). Чуть лучше, судя по всему, продуманная эргономика АПИ.

Как конкретный пример: вызовы, требующие nonce, в Tink сами этот нонс генерят автоматически; а в NaCl это оставляется на усмотрение разработчика, и это один из самых частых источников ошибок.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

4. "Google представил криптографическую библиотеку Tink"  +13 +/
Сообщение от Петросян (?), 30-Авг-18, 23:45 
защищенный линух от интела, криптографическая либа от гугла. Ждем сесурный андроид от яндекса
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Google представил криптографическую библиотеку Tink"  –1 +/
Сообщение от Задорнов (?), 30-Авг-18, 23:54 
Уже был. Яндекс.Кит называется.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Google представил криптографическую библиотеку Tink"  +2 +/
Сообщение от Отражение луны (ok), 31-Авг-18, 00:08 
Смысл которого был отсудить у Гугла через ФАС
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Аноним (8), 31-Авг-18, 00:16 
А какого цвета он был?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Google представил криптографическую библиотеку Tink"  +1 +/
Сообщение от LineageOS (?), 31-Авг-18, 00:34 
Такого же как любой другой с гугл сервисами.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Вадик (??), 31-Авг-18, 01:32 
Уже. Или ты не пользуешься android'ом?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

35. "Google представил криптографическую библиотеку Tink"  +2 +/
Сообщение от Аноним (35), 31-Авг-18, 12:03 
и новые стандарты шифрования от секретных служб.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Google представил криптографическую библиотеку Tink"  +2 +/
Сообщение от Какаянахренразница (ok), 31-Авг-18, 07:55 
Не поддерживает C??? Не взлетит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Google представил криптографическую библиотеку Tink"  –1 +/
Сообщение от java developer (?), 31-Авг-18, 09:04 
issue Nr1 - no PHP Implementation
https://github.com/google/tink/issues/104
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Google представил криптографическую библиотеку Tink"  –1 +/
Сообщение от Аноним (20), 31-Авг-18, 09:04 
Но зачем?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Аноним (24), 31-Авг-18, 09:31 
> разработчики не имеющие опыта в криптографии

Читать мануалы и общую литературу им религия не позволяет? Или манагер стоит над душой и зудит "давай-давай"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от гугл (?), 31-Авг-18, 10:03 
тех, которым позволяет, мы нынче не нанимаем - во-первых, они хотят больше денег, во-вторых лезут со своими ценными идеями, вместо того чтоб выполнять команду быстро и не раздумывая.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Google представил криптографическую библиотеку Tink"  +1 +/
Сообщение от менеджер гугля (?), 31-Авг-18, 10:04 
к тому же они не из моей деревни, не говорят на моем диалекте хинди (а на английском я ничего не понимаю), и вообще я же должен поддерживать в первую очередь соседей (и их в моем подбангалорском пригороде миллионов этак пять, что-ли)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Аноним (30), 31-Авг-18, 10:35 
В Индии-то люди полиглоты.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Анонимус_б6_выпуск_3 (?), 31-Авг-18, 13:46 
Индийский английский слышал?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

48. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Васёк (?), 03-Сен-18, 20:45 
Нормально они говорят. С акцентом порой жутким, но уж будьте уверены, английским там владеют намного лучше, чем в среднем по России.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

49. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от турист (?), 03-Сен-18, 21:43 
да, ни разу в Бурятии или там, под Магаданом не слышал прекрасного "what is your name? Gimme money!"

не владеют, точняк! Правда, нахрен он нужен бурятам, неясно - а пару слов по китайски в нужной тональности, как ни удивительно, могут многие.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

26. "Google представил криптографическую библиотеку Tink"  +/
Сообщение от Аноним (-), 31-Авг-18, 09:47 
А старая либа стала совсем nih?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Google представил криптографическую библиотеку Tink"  +2 +/
Сообщение от X4asd (ok), 31-Авг-18, 12:09 
херня какая-то (простите).

API для C нет .. да, спасибо конечно за C++ , но наколенные C++поделки в стиле Yandex нам не нужны.

сборка через какой-то bazel ? почему не через meson?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Google представил криптографическую библиотеку Tink"  –1 +/
Сообщение от Анонимemail (45), 01-Сен-18, 11:56 
Как они вовремя - а ешё и аппаратный ключик выкатили на рынок!
Корпорация "добра" нам пошифровать принесла.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Google представил криптографическую библиотеку Tink"  +1 +/
Сообщение от reiniger (ok), 01-Сен-18, 14:38 
> Google представил криптографическую библиотеку Tink
> трудно допустить ошибки, способные привести к снижению безопасности

Криптографическая библиотека от шпионящего за всеми подряд? Это типа как комфортный курятник от лисы! А ведь навяжут её пиндосные корпоратели, навяжут, как своё хромое поделие везде и всюду понапихали!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру