2012年4月之前的OpenSSL版本存在一个称为ASN1 BIO漏洞(http://www.openssl.org/news/secadv_20120419.txt)的漏洞。
我现在在Android上使用Spongy Castle来解决我们的安全需求,我想知道Spongy Castle是否(或者是)也容易受到攻击。
我在这个主题上进行了Google搜索,但找不到任何相关信息。
有没有人知道这是否会影响Spongy Castle?
谢谢!
答案 0 :(得分:0)
Bouncy Castle,并且,通过扩展,Spongy Castle不会使用任何OpenSSL代码进行ASN.1解析。所有代码都是用Java开发的,而AFAIK并不是从OpenSSL借用的。因此,从理论上讲,它不应该具有相同的漏洞。特别是因为它与特定于OpenSSL的API(BIO)有关。