Google trình làng thư viện Cross-Platform Crypto

Tuần trước, Google đã chính thức công bố Tink, một thư viện mã nguồn mở đa nền tảng được thiết kế để giúp đơn giản hóa các hoạt động mã hóa thông dụng.

Trải qua hai năm phát triển, cryptographic library này đã có sẵn trên GitHub nhờ vào sự đóng góp nhiệt tình từ cộng đồng.

Hiện tại Tink đã ra tới phiên bản 1.2.0 và có hỗ trợ cho Cloud, Android, iOS và nhiều hơn thế nữa, library đã được sử dụng để bảo mật dữ liệu các sản phẩm của Google như AdMob, Google Pay, Google Assistant, Firebase, Android Search App, và các sản phẩm khác .

Được xây dựng dựa trên các thư viện như BoringSSL và Java Cryptography Architecture, Tink cũng bao gồm một loạt các biện pháp nhằm giảm thiểu những điểm yếu mà Google’s Project Wycheproof đã phát hiện trong các thư viện đó.

Tink có thể đơn giản hóa nhiều hoạt động mã hóa khác nhau. Mã hóa dữ liệu, chữ ký điện tử và nhiều thứ khác sẽ chỉ yêu cầu một vài dòng mã, Google tuyên bố.

Thư viện đang cung cấp các API mã hóa được chính Google bảo đảm là an toàn, cũng như rất dễ sử dụng và khó gặp lỗi.

“Tink nhắm đến việc loại bỏ càng nhiều càng tốt những lỗi và nhầm lẫn từ người dùng. Ví dụ, nếu chế độ encryption mode yêu cầu nonces nhưng việc tái sử dụng nonce làm cho nó không an toàn, thì Tink sẽ không cho phép người dùng sử dụng nonces”, Google giải thích.

Mục tiêu khi xây dựng thư viện này là để giúp dễ dàng cải thiện tính bảo mật cho sản phẩm. Do đó, Tink hiển thị các thuộc tính bảo mật được yêu cầu ngay trong giao diện, nhờ đó mà security auditors và automated tool có thể nhanh chóng tìm thấy những trường hợp không khớp với các yêu cầu bảo mật được đưa ra.

Hơn nữa, thư viện cũng sẽ tách riêng các API cho các hoạt động có mối nguy hiểm tiềm ẩn, do đó cho phép khám phá, hạn chế, theo dõi và ghi lại việc sử dụng các API này.

Tính năng hỗ trợ cho key management cũng được tích hợp trong thư viện, bao gồm cả key management và loại bỏ những mật mã không được chấp nhận, Google cho biết.

Song song đó, nó cũng được thiết kế để có thể mở rộng, Tink đơn giản hóa việc bổ sung các lược đồ mã hóa tùy chỉnh hoặc các hệ thống quản lý khóa nội bộ. Tất cả các thành phần của Tink dễ dàng thay thế hoặc loại bỏ, tất cả “đều có thể tổng hợp, lựa chọn và lắp ráp để cho ra nhiều kết quả khác nhau”, Google nói

Điều này có nghĩa là bạn chỉ cần digital signature, là có thể bỏ qua các key encryption component khỏi thư viện, nhờ đó giúp giảm thiểu số dòng code trong ứng dụng.

Techtalk via securityweek