Me gustaría saber cómo se analiza y se selecciona una biblioteca relacionada con la criptografía. Por ejemplo, hoy tenemos muchas implementaciones TLS, que utilizan primitivas criptográficas, por ejemplo: GnuTLS, OpenSSL, LibreSSL, etc. Entonces, ¿cómo seleccionamos una?
- ¿Cómo se analiza la biblioteca? ¿Revisa el código fuente?
- ¿Qué pasa si no soy un experto en criptografía? ¿Debo confiar en las organizaciones que están detrás de esas bibliotecas?
Recientemente he estado usando bibliotecas relacionadas con criptografía proporcionadas por GNU, básicamente porque son de código abierto (lo que hace posible que cualquiera pueda revisar el código), tiene una buena documentación y porque los proyectos de GNU son en general confiables y confiables. ¿Qué otros parámetros, además del registro de seguimiento de la biblioteca debería tener en cuenta?