Cryptography Go中的加密库与OpenSSL相比如何?
它的实现是否足够安全,可以在生产代码中使用?特别是作为TLS客户端 如果没有,是否有从Go调用OpenSSL库的文档化方法?来自: 在邮件列表中,Adam Langley表示TLS代码没有 已由外部团体审核,因此不应在 生产。是否有计划对代码进行审查?好的保险箱 并发TLS的实现将非常好 亚当:众所周知,密码学很容易在微妙和复杂的环境中搞砸 令人惊讶的是,我只是一个人。我觉得我不能保证 Go的TLS代码是完美的,我不想歪曲它 有几个地方的代码是已知的 旁道问题:RSA代码是盲的,但不是恒定时间, 除P-224之外的椭圆曲线不是常数时间,而且幸运的是13 攻击可能有效。我希望在Go 1.2中解决后两个问题 具有固定时间P-256实施和AES-GCM的时间框架 然而,没有人站出来对TLS堆栈进行审查 我还没有调查过我们是否能找到Matasano或类似的人 信息技术这取决于谷歌是否愿意为此提供资金Cryptography Go中的加密库与OpenSSL相比如何?,cryptography,openssl,go,Cryptography,Openssl,Go,它的实现是否足够安全,可以在生产代码中使用?特别是作为TLS客户端 如果没有,是否有从Go调用OpenSSL库的文档化方法?来自: 在邮件列表中,Adam Langley表示TLS代码没有 已由外部团体审核,因此不应在 生产。是否有计划对代码进行审查?好的保险箱 并发TLS的实现将非常好 亚当:众所周知,密码学很容易在微妙和复杂的环境中搞砸 令人惊讶的是,我只是一个人。我觉得我不能保证 Go的TLS代码是完美的,我不想歪曲它 有几个地方的代码是已知的 旁道问题:RSA代码是盲的,但不是恒定时间,
众所周知,它容易受到某些侧通道攻击,所以不,它可能还不够好。FWIW,现在已经有了从Go到OpenSSL的高性能绑定:对不起,你在问什么?@haylem提到了第一个条目。Go的加密包不易受此攻击:OpenSSL现在也没有记录在案,Adam确实在Go 1.2(和)中提到了他提到的要点。2019年对此感到疑惑