¿Es seguro usar la criptografía Java Bouncycastle en un entorno de producción sobre la cripta Java estándar?

2

Soy un desarrollador de Java y mi Arquitecto me insta a usar Bouncycastle y me dijo que es mejor que la JCE. Sé que Bouncycastle contiene más bibliotecas ricas que JCE. Pero la pregunta es: ¿es seguro usar criptografía estándar no Java (Oracle) en el entorno de producción?

    
pregunta Marcus Cleark 15.01.2017 - 09:43
fuente

2 respuestas

2

Dado el amplio uso de Bouncy Castle y un registro de seguridad que no es peor más que otras implementaciones de TLS, probablemente no sea un problema de seguridad usarlo en lugar de las bibliotecas estándar de Java en producción. Esto significa que no diría que es 100% seguro, pero probablemente no sea menos seguro que las bibliotecas estándar de Java.

    
respondido por el Steffen Ullrich 15.01.2017 - 09:56
fuente
2

Estoy de acuerdo con @Steffen. Hay una cosa más que necesitas considerar aquí. Bouncycastle le permite utilizar longitudes de bits no permitidas (en algunos países) en algoritmos de cifrado. Por lo tanto, es muy importante analizar cuáles son sus regulaciones de jurisdicción (o clientes) antes de implementar esto en el entorno de producción.

A modo de ejemplo, Estados Unidos no permiten exportar nada con Bouncycastle.

    
respondido por el user3496510 15.01.2017 - 10:06
fuente

Lea otras preguntas en las etiquetas