Een audit van de populaire cryptografische softwarebibliotheek libsodium heeft geen grote kwetsbaarheden aan het licht gebracht. Het onderzoek van de code werd op verzoek van vpn-provider Private Internet Access uitgevoerd door cryptograaf Matthew Green.
De vpn-provider heeft bij de presentatie van de resultaten van de audit gemeld dat het de softwarebibliotheek zelf gebruikt voor zijn interne software. Het onderzoek richtte zich in eerste instantie op versie 1.0.12 van libsodium en na enkele nieuwe commits werd ook versie 1.0.13 meegenomen. Green schrijft bij de resultaten van de audit: "Onze algemene bevinding is dat libsodium inderdaad een veilige bibliotheek van hoge kwaliteit is, die zijn doelen op het gebied van gebruiksvriendelijkheid en efficiëntie waarmaakt."
Er zijn wel twee problemen met de inschatting 'laag' gevonden. Het eerste heeft ermee te maken dat libsodium op Windows alleen van een onofficiële api gebruikmaakt. Daardoor ontstaat het risico dat er geen back-upoptie is als Microsoft besluit de api te verwijderen. Het tweede probleem heeft te maken met een null pointer dereference, die de stabiliteit van de software kan beïnvloeden.
Libsodium is een opensource-fork van de in C geschreven NaCl-blibliotheek. Ontwikkelaars kunnen de bibliotheek op verschillende platforms gebruiken om cryptografische functies in hun projecten te implementeren, zoals hashing van wachtwoorden, encryptie, decryptie, random number generators en ondertekening. Het libsodium-team wil hiertoe een makkelijk te gebruiken api ter beschikking stellen.
Naast Private Internet Access zijn er nog meer bedrijven en projecten die libsodium gebruiken. Bijvoorbeeld Facebook, hosters Digital Ocean en OVH, en de cryptochatapp Wire. De code komt verder terug in projecten als Discord, PowerDNS, de cryptocurrency Zcash en collaboratiesoftware Peerio. Matthew Green, die eveneens hoogleraar is aan de Amerikaanse Johns Hopkins-universiteit, was eerder betrokken bij audits van TrueCrypt en OpenVPN.