PHP 7.2 intégrera nativement la bibliothèque cryptographique Sodium

Des ellipses et des primitives 31
image dediée
Développeurs

La semaine dernière, il a été décidé que la prochaine version importante pour PHP, la 7.2, embarquerait la bibliothèque cryptographique Sodium. Un ajout de taille, puisque le langage va proposer en standard une sécurité « moderne ».

C’est par un vote unanime qu’il a été décidé d’inclure dans PHP 7.2 la bibliothèque libsodium. Cette dernière – un fork de NaCl – est conçue pour fournir une solution de cryptographie qui se veut moderne, à savoir clé en main et multiplateforme. Elle peut être utilisée dans des applications fixes ou mobiles, mais elle est aussi portable, compilable à l’envie et installable.

Sodium devient une extension Core de PHP

L’objectif de Sodium est avant tout de fournir au sein d’un package unique toutes les fonctionnalités liées aux chiffrement, déchiffrement, signature, hachage de mots de passe, dérivations de clés et autres. Elle s’appuie sur des primitives (algorithmes cryptographiques de bas niveau) modernes comme X25519, Ed25519, Xsalsa20poly1305, BLAKE2, Argon2, SipHash-2-4 et ChaCha20-Poly1305. On n’y trouve en fait aucune primitive passée entre les mains du NIST (National Institute of Standards and Technology), lié à la NSA.

C’est cette trousse à outils qui va donc se retrouver dans PHP 7.2, dont la version finale est attendue pour la fin de l’année. Mais en plus de la sécurité que cela implique éventuellement pour les développeurs qui veulent y faire appel, on trouve une API de haut niveau qui permet d’utiliser la bibliothèque assez facilement. En outre, on parle bien d’une inclusion dans PHP Core, ce qui annule tout besoin d’une extension spécifique.

De la sécurité moderne, dès l'ouverture

L’idée derrière ce vote est de faire de PHP un langage permettant d’inclure directement des mesures de sécurité, sans passer par des extensions et en évitant le classique RSA. Pour Scott Arciszewski, spécialiste du PHP et auteur de la proposition d’inclusion, l’ajout fait tout simplement du langage le premier à proposer une cryptographie moderne dans sa bibliothèque standard.

Dans son billet de blog, il explique ainsi que nombreux ont été les développeurs à lui répondre que d’autres langages proposaient des fonctionnalités aussi poussées pour la cryptographie. Il rétorque que ces fonctionnalités sont toujours présentes dans des bibliothèques optionnelles dès que l’on souhaite se servir de TLS.

Vrai coup d'envoi pour la fin de l'année

Cela étant, on précisera que rien n’empêche les autres langages d’inclure à leur tour la bibliothèque Sodium ou même de travailler à l’inclusion d’autres bibliothèques, éventuellement développées en interne. À condition de fournir les API qui permettent de l’exploiter facilement.

En outre, même si Sodium est intégré à PHP Core, certains développeurs seront moins frileux devant l’usage de modules externes. Alors que PHP 7.2 doit arriver à la fin de l'année, il n'est pas dit non plus que le changement se diffuse rapidement, les services devant déployer eux-mêmes cette nouvelle version.

Pour en savoir plus :

Publiée le 15/02/2017 à 16:45
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...