web-dev-qa-db-ja.com

Java Bouncycastle暗号化を標準よりも本番環境で使用しても安全ですか?Java crypt?

私はJava開発者であり、私のアーキテクトはBouncycastleを使用するよう促し、JCEよりも優れていると私に伝えました。BouncycastleにはJCEよりも豊富なライブラリが含まれていることを知っています。しかし、問題はそれが安全であるということです。本番環境でJava(Oracle)以外の標準暗号を使用するには

3
Marcus Cleark

Bouncy Castleが広く使用されており、他のTLS実装よりも悪くない セキュリティレコード であることから、標準のJavaの代わりに使用することは、セキュリティ上の問題ではないでしょう。これは、100%安全であると主張するつもりはありませんが、標準のJavaライブラリよりも安全である可能性があります。

3
Steffen Ullrich

@Steffenに同意します。ここで、もう1つ検討する必要があります。 Bouncycastleでは、暗号化アルゴリズムで許可されていない(一部の国では)ビット長を使用できます。したがって、これを運用環境に実装する前に、お客様(またはクライアント)の管轄規制を分析することが非常に重要です。

例として nited States 何もエクスポートすることを許可しないBouncycastleを使用します。

2
user3496510