Apple ouvre des bibliothèques de chiffrement aux développeurs tiers
Apple ouvre des bibliothèques de chiffrement aux développeurs tiers,
pour les encourager à apporter plus de sécurité à leurs applications iOS et OS X
Apple a annoncé qu’il ouvre ses bibliothèques de chiffrement, les mêmes qui sont utilisées pour protéger ses plateformes iOS et OS X, aux développeurs tiers dans le but de les encourager à apporter plus de sécurité à leurs applications.
Les développeurs auront accès à :
- Common Crypto : une bibliothèque qui fournit un support pour les opérations communes de chiffrement telles que le chiffrement symétrique, l’authentification de message basée sur le hachage. Cette bibliothèque fournit Cryptographic Services sur les plateformes iOS et OS X qui comprend des services comme le chiffrement et le déchiffrement (à la fois pour un usage général et un usage spécifique), la gestion des clés en utilisant keychains, la génération des nombres aléatoires forts, des communications sécurisées (SSL et TLS), des stockages sécurisés qui font appel à FileVault et à iOS File Protection ;
- Security Framework : un framework qui fournit des API pour gérer les certificats, les paires de clés ainsi que les politiques de confiance. Ce framework inclut des services iOS et OS X importants comme Keychain Services (une API utilisée pour créer, trouver, modifier et effacer des éléments keychain), Certificate, Key and Trust Services (pour lire et évaluer les certificats, mais aussi se servir de clés de chiffrement), Randomization Services (une API qui génère des nombres aléatoires) ;
- corecrypto : le bloc de construction fondamental des autres bibliothèques de chiffrement. Il fournit des primitives cryptographiques de bas niveau qui, selon Apple, « ne devraient pas être utilisées par des applications iOS ou OS X » directement. corecrypto a été rendu disponible pour permettre aux développeurs ou d'autres parties intéressées de vérifier les caractéristiques de mise en œuvre et de sécurité. corecrypto est soumis à des conditions de licence plus restrictives que les deux autres bibliothèques. D’ailleurs, Apple a soumis cette bibliothèque pour validation à la conformité FIPS (Federal Processing Standards) 140-2 Niveau 1.
L’un des détails qu’il convient de souligner c’est que le composant bas niveau qu’est corecrypto n’a pas été rendue open source. Il serait probablement plus correct de le voir comme « divulgation de code source » dans la mesure où corecrypto est soumis à un « accord de licence d’utilisation interne » qui n’accorde que le droit de télécharger et d’inspecter le code sur une période de 90 jours à compter du téléchargement et la redistribution a explicitement été interdite : « Apple, vous accorde, pour une période de quatre-vingt-dix (90) jours à compter de la date où vous téléchargez le logiciel Apple, une licence limitée, non exclusive, non cessible aux termes des droits d'auteur Apple sur le logiciel Apple de faire un nombre raisonnable de copies, de compiler et d’exécuter le logiciel Apple en interne au sein de votre organisation uniquement sur des appareils et des ordinateurs sur lesquels vous avez le contrôle, dans le seul but de vérifier les caractéristiques de sécurité et le bon fonctionnement du logiciel Apple; à condition que vous conserviez cette remarque ainsi que le texte et les avertissements suivants dans toutes les copies du logiciel Apple que vous faites. Vous ne pouvez pas, directement ou indirectement, redistribuer le logiciel Apple ou une partie de celui-ci ».
Source : Apple
Et vous ?
Que pensez-vous de cette stratégie ? Allez-vous utiliser l'une de ces bibliothèques ?
Voir Aussi :
Répondre avec citation
Partager