蘋果開源三個加密庫

蘋果宣布開源其操作系統的安全子系統中三個主要組件，其中一個庫使用的具有限制性約束的許可證引發了爭議，此次聲明也對該爭議作出相應解釋。

三個被開源的組件是：

• corecrypto ：所有加密庫的基本構件，為其它庫提供低階加密原語，Apple聲稱，“iOS或OS X應用不應直接使用 corecrypto 。”開源 corecrypto 的目的是讓開發者或其它對 corecrypto 感興趣的團體可以查驗它的具體實現以及安全特性。 corecrypto 的許可條款比其它兩個庫更為嚴格。
• Common Crypto ：一個為常見加密操作（如對稱加密、基于散列的消息身份認證、摘要加密等）提供支持的庫，為iOS和OS X提供 加密服務 。
• 安全框架 ：一個為證書、密鑰以及信任策略管理提供API的庫。這個庫中包含一些很重要的OS X和 iOS服務 ，例如： Keychain 、傳輸層網絡安全等。

許多公開評論 指出，蘋果發布的聲明中有一個重要細節，其實它最底層的組件 corecrypto 并沒有被真正開源，我們頂多可以將其視為一種“代碼披露”的行為。事實上，蘋果強制所有下載 corecrypto 的用戶必須接受他們的“內部使用許可協議”，這個協議授予下載者自下載日起90天的查看權利，而且明文禁止再分發。Reddit的一位 評論者 認為，90天的源碼查看限制賦予了他們自由撤銷授權的選擇權：萬一蘋果決定停止對外公開下載“ corecrypto ”，這項協議可以確保他們的源碼在全球范圍內的授權時間最多只有額外的90天。

此舉的另一 重要原因 是，我們實際上無法明確知曉是否能通過蘋果提供的源代碼有效地構建包含在正式版iOS和OS X中的加密庫和框架。

盡管如此，Apple仍然希望為第三方開發者提供這些加密庫從而讓他們能夠在自己的App中應用更多高級安全特性。

查看英文原文： Apple Open-sources Three Cryptographic Libraries