文章披露了libsodium加密库存在一个漏洞，作者回顾了该项目13年来的设计理念——通过提供简单稳定的API让用户无需关注底层算法，同时强调了对API稳定性的坚持。尽管当前API存在改进空间，但保持向后兼容性仍是核心原则。

标题：libsodium加密库中发现安全漏洞

发布日期：2025年12月30日

核心内容：

1. 项目背景

• libsodium加密库已持续维护13年，以提供简单易用的加密API为设计目标
• 项目最初基于NaCl API，始终保持着API稳定性
• 虽然推荐使用高级API，但开发者逐渐开始直接使用底层函数

2. 漏洞详情

• 漏洞函数：crypto_core_ed25519_is_valid_point()
• 问题本质：该函数未能正确验证Edwards25519椭圆曲线上的点是否属于主加密子群
• 技术细节：
  • 原代码仅检查X坐标是否为0，未验证Y=Z的条件
  • 导致某些混合阶子群的点被错误接受为有效点

3. 影响范围

• 受影响版本：1.0.20及之前版本
• 主要影响：
  • 直接使用该函数验证不可信来源点的应用
  • 实现自定义Edwards25519曲线加密的方案
• 不受影响情况：
  • 高级签名API（cryptosign*）
  • 常规密钥对生成函数

4. 修复方案

• 修复提交：增加了Y=Z的验证条件
• 推荐解决方案：
  • 优先使用Ristretto255群组（2019年引入）
  • 提供临时解决方案代码片段

5. 后续措施

• 已发布包含修复的稳定版软件包
• 维护者呼吁通过赞助支持项目持续发展

6. 补充说明

• 这是libsodium 13年来首个安全漏洞
• 大多数标准使用场景不受影响
• 强调底层加密函数应谨慎使用

（注：已过滤原文中与漏洞无关的项目历史、个人感想及推广内容，保留技术细节和关键修复信息）

总结评论内容如下：

1. 关于安全漏洞的影响与检查

   • 评论1指出该漏洞影响了PHP库sodiumcompat，并计划检查其他Ed25519实现是否存在类似问题。
     *引用："This also affected the PHP library, sodiumcompat."
     "I'm planning to spend my evening checking every other Ed25519 implementation..."*
   • 评论5强调该漏洞的隐蔽性和重要性，说明加密验证的复杂性及底层原件的广泛影响。
     引用："Subtle but important bug... small validation gaps can have surprisingly large blast radii."

2. 对Ristretto255的积极评价

   • 评论2赞赏Ristretto255的设计灵活性，允许构建复杂的多项式并带来实验乐趣。
     引用："Ristretto is a tightly designed API... I've been having a blast tinkering with it!"

3. 对作者Frank Denis的感谢与支持

   • 评论3直接表达对库的赞赏："Such a great library. Thank you Frank Denis"。
   • 评论4建议公司赞助作者以支持其工作。
     引用："consider trying to get Frank sponsored by your company."

总结：评论主要围绕漏洞影响、加密验证的复杂性、Ristretto255的技术价值，以及对作者的感谢与支持展开。