PHP團(tuán)隊(duì)最近投票一致通過(guò)了“將Libsodium庫(kù)集成到PHP內(nèi)核中”的決議，使得PHP成為首個(gè)使用公認(rèn)現(xiàn)代加密庫(kù)的編程語(yǔ)言。

Libsodium是個(gè)便捷，可交叉編譯，現(xiàn)代化，易于使用的軟件庫(kù);可用于加密，解密，簽名，密碼哈希等。和PHP源代碼一樣，Libsodium是用C編寫(xiě)的。如今，很多公司，如Keybase，數(shù)字海洋，Riseup，Yandex，Wire和Zcash，已經(jīng)他們的服務(wù)中部署Libsodium。

提出加入Libsodium建議的的開(kāi)發(fā)者是來(lái)自Paragon Initiative公司的首席開(kāi)發(fā)官Scott Arciszewski，他曾在過(guò)去的開(kāi)發(fā)會(huì)議中提倡在PHP CMS中加入更強(qiáng)大的加密技術(shù)。

Libsodium將在PHP 7.2中出現(xiàn)

PHP團(tuán)隊(duì)決定在2017年年底推出的PHP 7.2中加入Libsodium。目前最新PHP版本為7.1.2。

Arciszewski解釋了他為什么期望在PHP內(nèi)核中嵌入Libsodium，主要原因就在于WordPress以及共享托管供應(yīng)商——絕大部分共享主機(jī)供應(yīng)商不允許用戶安裝自定義PHP擴(kuò)展，因?yàn)樵S多未經(jīng)測(cè)試或未知的擴(kuò)展可能對(duì)其設(shè)備造成危害。

Arciszewski的想法是如果將Libsodium集成到PHP內(nèi)核中，就可以擺脫對(duì)托管提供商的依賴(lài)，用戶也不用再為PHP擴(kuò)展的安全性擔(dān)憂，因?yàn)橐院蟮腜HP版本將會(huì)默認(rèn)支持加密庫(kù)。“共享主機(jī)提供商還是主要原因，因?yàn)閂PS供應(yīng)商(在我印象中，總是)一般是讓你在自己虛擬機(jī)上以root權(quán)限運(yùn)行的。”

除此之外，Arciszewski表示Libsodium的加入，同樣也免去了說(shuō)服WordPress團(tuán)隊(duì)去加強(qiáng)他們的安全建設(shè)的過(guò)程，因?yàn)樗麄冏匀粫?huì)用PHP默認(rèn)支持的強(qiáng)加密功能。

PHP需要Libsodium的其他原因

相關(guān)PHP加入Libsodium，Arciszewski還提出了更多原因，他認(rèn)為L(zhǎng)ibsodium嵌入到PHP核心對(duì)PHP全局的安全性有很多好處。比如說(shuō)：

1. 顯然Libsodium會(huì)讓共享網(wǎng)絡(luò)托管提供商為用戶升級(jí)到PHP 7.2;

2. 本次升級(jí)會(huì)告訴操作系統(tǒng)開(kāi)發(fā)人員，“Libsodium是必要的;它是默認(rèn)安裝的一部分”;

3. PHP手冊(cè)將會(huì)列出對(duì)libsodium擴(kuò)展的說(shuō)明，這意味著開(kāi)發(fā)人員將有官方文檔可依;

4. PHP 7.2+內(nèi)部就能使用libsodium功能，例如PHP Archives(Phar擴(kuò)展)很快就會(huì)有Ed25519簽名;

5. 在不對(duì)用戶產(chǎn)生影響的情況下，那些需要libsodium的開(kāi)源項(xiàng)目就可方便安裝。

Arciszewski在郵件中提到：“我堅(jiān)信安全應(yīng)該屬于每個(gè)人，而不應(yīng)該只屬于那些有能力為安全買(mǎi)單的1%的人。PHP在互聯(lián)網(wǎng)上的占有率至少有82%，而libsodium又是大多數(shù)加密技術(shù)人員推薦的應(yīng)用層加密庫(kù)。

“在PHP開(kāi)發(fā)者眼中，PHP和libsodium的聯(lián)手應(yīng)該是獲得更好的安全性最為直接和合理的方式。許多開(kāi)發(fā)者沒(méi)有時(shí)間或加密方面的經(jīng)驗(yàn)來(lái)搭建屬于自己安全。”

為什么“第一個(gè)”是PHP，而不是Go或Erlang?

Arciszewski解釋了使用加密庫(kù)后的技術(shù)優(yōu)勢(shì)，以及為什么Libsodium是現(xiàn)在最現(xiàn)代化的加密庫(kù)之一，詳情點(diǎn)擊這里可查看。另外他還解釋了為什么PHP才是真正意義上“第一個(gè)”在其核心中支持“現(xiàn)代”加密庫(kù)的編程語(yǔ)言——盡管Erlang和Go包含類(lèi)似的庫(kù)，但是它們的實(shí)施完整性與將來(lái)加入到PHP 7.2中的Libsodium不可同日而語(yǔ)。

在加入Libsodium到PHP之前，Arciszewski已經(jīng)在WordPress之上進(jìn)行了實(shí)踐，他在WordPress 4.4中添加了一個(gè)強(qiáng)大的CSPRNG(加密安全偽隨機(jī)數(shù)生成器)，并發(fā)現(xiàn)WordPress更新過(guò)程中的幾個(gè)缺陷，這將允許攻擊者劫持互聯(lián)網(wǎng)上的所有WordPress網(wǎng)站。