PHP團隊近日以37:0無異議地通過於PHP 7.2版的核心中整合Libsodium密碼庫,使它成為全球第一個把現代加密技術納為標準函式庫的程式語言。
Libsodium的全名為Sodium加密函式庫(Sodium crypto library),為一標榜操作簡單的開放源碼軟體加密庫,可用來加密、解密、簽名及產生雜湊密碼等,可在打造更高階加密工具時提供所有的核心操作,且支援Windows、iOS及Android等平台,最新的版本為2016年7月底釋出的Libsodium 1.0.11。
知名的PHP安全開發人員Scott Arciszewski是在2016年的1月提出該方案,在歷經1年的討論後,終於在今年2月無異議地通過,並將開始著手將Libsodium導入PHP 7.2,可望於今年底釋出。目前最新的PHP版本為上周才發表的7.1.2。
Arciszewski表示,有別於其他加密標準,Libsodium是由安全專家們所精心挑選的演算法所組成,可避免旁路攻擊(side-channel)漏洞。
其實Libsodium原本就是PHP的擴充程式,但Arciszewski在接受Bleeping Computer的採訪時指出,他發現基於PHP的WordPress或其他共伺服器享代管業者多半不允許用戶安裝客製化的PHP擴充程式,擔心這些客製化擴充程式危及平台的基礎架構,這使得他決定推動讓Libsodium成為PHP的預設功能。