Libsodium, 13 yıldır kriptografi dünyasında basit ve yüksek seviyeli bir API sunma hedefiyle geliştirilen popüler bir kütüphanedir. Geliştiricisi, kullanıcıların dahili algoritmaları bilmeden güvenli kriptografik işlemler yapmasını amaçlamış ve API istikrarına büyük önem vermiştir. Ancak zamanla, kütüphane orijinal amacının dışına çıkarak düşük seviyeli fonksiyonların da doğrudan kullanıldığı bir algoritma araç setine dönüşmüştür. Bu durum, geliştiricinin beklentilerinin aksine, Libsodium'un daha geniş bir kullanım alanına yayıldığını göstermektedir.
Uzun yıllar boyunca sıfır CVE ile oldukça sağlam bir güvenlik geçmişine sahip olan Libsodium'da yakın zamanda bir güvenlik açığı tespit edildi. Geliştirici, toplu imza desteği üzerinde çalışırken, Zig dilinde yazılmış bir kod ile kendi Libsodium uygulamasında tutarsız sonuçlar fark etti. Bu tutarsızlığın nedeni, crypto_core_ed25519_is_valid_point() adlı düşük seviyeli bir fonksiyonda eksik olan bir doğrulama kontrolüydü. Bu fonksiyon, verilen bir eliptik eğri noktasının geçerli olup olmadığını kontrol etmekle yükümlüdür.
Hata, Edwards25519 eğrisi üzerindeki bazı noktaların, ana kriptografik grup dışında olmalarına rağmen geçerli kabul edilmesine yol açıyordu. Edwards25519, farklı boyutlarda (derecelerde) alt gruplara sahiptir ve kriptografik işlemlerin "ana alt grup" (Order L) içinde gerçekleşmesi beklenir. Geçersiz noktaların kabul edilmesi, potansiyel olarak kriptografik zayıflıklara veya saldırılara kapı aralayabilir. Bu durum, düşük seviyeli fonksiyonların doğrudan kullanımının getirdiği riskleri ve kapsamlı doğrulamanın önemini bir kez daha ortaya koymaktadır.
Libsodium'daki bu hata, kriptografik işlemlerin temelini oluşturan eliptik eğri noktalarının doğru şekilde doğrulanmamasının ciddi güvenlik riskleri taşıyabileceğini gösteriyor.