The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В основной состав PHP будет включена криптографическая библиотека Libsodium

23.02.2017 10:49

Разработчики PHP проголосовали за интеграцию в основной состав будущей ветки PHP 7.2 криптографической библиотеки Libsodium. По сравнению с OpenSSL, Libsodium предоставляют существенно более простой API, совместимый с библиотекой NaCl, а также применяет по умолчанию безопасные методы шифрования и хэширования. Релиз PHP 7.2 ожидается в конце 2017 года.

Функции Libsodium будут доступны разработчикам на языке PHP с префиксом "sodium_*", в отличие от ранее применяемого в расширении pecl/libsodium префикса "Sodium*". Разработчики получат возможность использования современных криптографических средств без необходимости установки дополнений, что позволит реализовать в web-приложениях более надёжные криптографические методы, даже в условиях использования хостинга, не допускающего установки своих дополнений. В том числе в базовой поставке будут доступны цифровые подписи Ed25519, хэширование паролей при помощи Scrypt и Argon2i, обмен ключами ECDH+Curve25519, шифрование ChaCha20-Poly1305 и AES-256-GCM.

Таким образом PHP станет первым языком программирования с полноценным современным набором криптографических функций в базовой поставке. Для сравнения, язык Go 1.8 поддерживает X25519 и ChaCha20-Poly1305 в основном стеке TLS, но не предоставляет в стандартной библиотеке средств для обособленного использования современных криптографических алгоритмов на уровне приложения, для использования которых требуется установка дополнений. Другие проекты, такие как Ruby, Erlang и Node.js до сих пор основываются на OpenSSL, предлагая классические RSA и AES в режиме ECB без аутентификации шифротекста.

  1. Главная ссылка к новости (https://dev.to/paragonie/php-7...)
  2. OpenNews: Библиотека Sodium Compat поможет реализовать верификацию обновлений в WordPress
  3. OpenNews: Первый стабильный выпуск криптографической библиотеки Sodium
  4. OpenNews: Представлена новая криптографическая библиотека Sodium
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46089-libsodium
Ключевые слова: libsodium, php, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:06, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    очередной лесопарк с префиксами
     
     
  • 2.10, Аноним (-), 14:49, 23/02/2017 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Как будто это что-то плохое.
     
  • 2.18, Вы забыли заполнить поле Name (?), 16:42, 23/02/2017 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    в php это норма (с)
     
     
  • 3.36, Mail (?), 00:30, 26/02/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    когда PHP откололся от перла, создатели хотели сделать более читабельный клон перла... Но гены все испортили!
     

  • 1.2, Аноним (-), 12:04, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    > Таким образом PHP станет первым языком программирования с полноценным современным набором криптографических функций в базовой поставке.

    Сидим, жром, хотим остановиться но не можем.

     
     
  • 2.33, Аноним (-), 21:42, 24/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Таким образом PHP станет первым языком программирования с полноценным современным набором криптографических функций в базовой поставке.
    > Сидим, жром, хотим остановиться но не можем.

    Много уже выжрали?


     
  • 2.34, Аноним (-), 03:55, 25/02/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    – Есть предложение. Всем, лично не заинтересованным, немедленно покинуть помещение, – все обернулись к нему.
    – Сейчас здесь будет очень грязно, – пояснил он. – До невозможности грязно.
     

  • 1.3, Ilya Indigo (ok), 12:14, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > ... Ed25519 ... ChaCha20-Poly1305 ...

    Вот это здорово! Вот этого мне и не хватало в PHP.
    Только вот применить эти фичи можно будет года через 2 не раньше, но главное, что это уже будет By Design.

    P.S. Теперь жду от Let's Encrypt аналогичного.

     
     
  • 2.26, gogo (?), 03:08, 24/02/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    В смысле, invalid by design? ))

    Зоопарк разрастается и разрастается. О unix-way даже упоминания нет - типа прошлый век уже. Настал век продвинутых долбодятлов, которые имеют свои собственные дыры (с блекджеками и шлюхами) и никому не  доверяют их латать.
    Все бы ничего, только ведь и сами свои поделия не ценят - версии выпускают как из пулемета, срок жизни минимальный, а изменения обратно несовместимые...

    Впрочем, это я расчувствовался и в очевидность ударился... Старею...

     
     
  • 3.29, Аноним (-), 10:27, 24/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    Что? Одним расширением больше, одним меньше, какая разница?
    Там все равно большую часть расширений приходится включать после установки, потому что нафиг всё отключено.
     
     
  • 4.37, Mail (?), 00:32, 26/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    А то что включено дыряво по умолчанию! ))
     
  • 2.27, nazarpc (?), 03:20, 24/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    > Только вот применить эти фичи можно будет года через 2 не раньше, но главное, что это уже будет By Design.

    С полифилами гораздо раньше;)

     

  • 1.9, ixrws (??), 14:12, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    А не слишком ли это всё? Я про вот мегатонны усложнений ради собственно чего? Вот в данном случае борются за безопасность, а она разве достижима шифрованием, разве проблема того, что кто-то нагло смотрит ваши домашние фотки или заходит с вашего аккаунта как-то связана с паролями и шифрованием? Разве для этого не достаточно просто рубить фаланги пальцев у таких людей, а от шифрования просто отказаться за ненадобностью?

    Это я к тому, что сейчас чтобы сделать обычный веб сайт нужно быть профессионалом в этом, знать кучу всего. Разве это к лучшему? Мы теряем контроль над вещами, которые создаём. И всё из-за страха с одной стороны(боимся возразить и предъявить свои права) и желания получить удобство с другой. Удобство же ведёт нас в ту же задницу, что и страхи.

     
     
  • 2.12, Crazy Alex (ok), 15:01, 23/02/2017 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Иди-ка ты... ну вот к буддистам в монастырь, например. Там как раз рубить что-нибудь любят.
     
  • 2.17, Мимокрокодил (?), 16:37, 23/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    >>Это я к тому, что сейчас чтобы сделать обычный веб сайт нужно быть профессионалом в этом, знать кучу всего. Разве это к лучшему?

    да.

     
  • 2.30, Аноним (-), 12:05, 24/02/2017 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    >Это я к тому, что сейчас чтобы сделать обычный веб сайт нужно быть профессионалом в этом, знать кучу всего.

    четыремя профессионалами. Знать бэкэнд, фронтэнд, дизайн, и сео.

     
     
  • 3.31, Аноним (-), 12:07, 24/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    на самом деле можно взять готовый конструктор, готовый дизайн и сделать сайт
     
     
  • 4.41, Аноним (-), 15:00, 28/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    И получить тормознутого монстра непонятно как работающего, у которого через некоторое время возникнут проблемы либо с зависимостями либо с безопасностью(а если совсем не пытаться понять как работает, то сразу)...
     

  • 1.11, Аноним (-), 14:53, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > Таким образом PHP станет первым языком программирования с полноценным современным набором криптографических функций в базовой поставке.

    Отлично!

     
     
  • 2.20, _ (??), 19:12, 23/02/2017 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Ну кто пройдёт по логической цепочке до конца и наконец то заявит:

       ВОТ ТЕПЕРЬ ПЫХ _ САМЫЙ БЕЗОПАСНЫЙ И ЗАЩИЩЁННЫЙ ЕЗЫГ! :-)

    Ох и запануют скоро пыхеры то :-)

     

  • 1.21, Михрютка (ok), 21:40, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >По сравнению с OpenSSL, Libsodium предоставляют существенно более простой API, совместимый с библиотекой NaCl,

    это фича? тогда почему не использовать сам nacl? К Бернштейну всяко доверия больше, чем к конторе, которая до покупки циской в Химках деревянными членами торговала.

     
  • 1.24, Аноним (-), 00:56, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Для сравнения, язык Go 1.8 поддерживает X25519 и ChaCha20-Poly1305 в основном стеке TLS, но не предоставляет в стандартной библиотеке средств для обособленного использования современных криптографических алгоритмов на уровне приложения, для использования которых требуется установка дополнений

    А это тогда что? https://godoc.org/golang.org/x/crypto Совесть-то надо иметь

     
  • 1.25, Аноним (-), 01:02, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    mysqli и mysql заменить на mysqlnd так и не сумели в 7.2

    в итоге имеем оверхед и внешнюю зависимость от mysql библиотек

     
     
  • 2.32, anomymous (?), 20:31, 24/02/2017 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Што?
    Иногда лучше жевать.
     
  • 2.39, Клыкастый (ok), 16:38, 27/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    > и внешнюю зависимость от mysql библиотек

    вы так говорите, как будто это что-то плохое.

     
  • 2.40, Anonimus (??), 12:10, 28/02/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    Ты путаешь теплое с мягким, зачем ты вообще сюда залез?
     

  • 1.38, Аноним (-), 00:41, 27/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ну всё, теперь то PHP станет самым безопасным. До этого ведь, он почему такой дырявый был, у него встроенного шифрования не было, а теперь всё :D :D :D
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру