Reg*_*igh 9 openssl cryptography go
在生产代码中使用它是否足够安全?特别是作为TLS客户端.
如果没有,是否有记录从Go调用OpenSSL库的方法?
Tre*_*xon 12
来自http://blog.golang.org/a-conversation-with-the-go-team:
在邮件列表中,Adam Langley表示TLS代码尚未经过外部团体审核,因此不应在生产中使用.是否有计划审查代码?并发TLS的良好安全实现将非常好.
亚当:密码学很容易以微妙和令人惊讶的方式拙劣,我只是人类.我不认为我可以保证Go的TLS代码是完美的,我不想歪曲它.
有几个地方已知代码有侧通道问题:RSA代码是盲的但不是恒定时间,P-224以外的椭圆曲线不是恒定时间,Lucky13攻击可能有效.我希望在Go 1.2时间框架中使用恒定时间P-256实现和AES-GCM解决后两个问题.
然而,没有人上前对TLS堆栈进行审查,我没有调查我们是否可以让Matasano或类似的东西去做.这取决于谷歌是否希望资助它.
众所周知,它会受到某些侧通道攻击的影响,所以不,它可能还不够好.
| 归档时间: |
|
| 查看次数: |
6446 次 |
| 最近记录: |