我陷入了两难境地,在这方面有更多经验的人的投入会非常宝贵。考虑到需要执行一些常规加密任务(如AES和数字签名验证)的桌面软件 - 在每个操作系统上使用像crypto ++这样的开源库与本机API之间的权衡是什么?让我担心的是:
- 破解软件的能力。在有人想要反向工程/破解软件的情况下,操作系统调用将更容易跟踪,因此攻击者可以更快地识别代码中发生任何加密内容的位置,并获得装配检查的起点。而使用开源加密库,如果内联代码,将更难发现。然后,攻击者最有可能在其他地方修补代码以短路执行任何验证等的路径,所以这可能是无关紧要的。
- 新确定的威胁预防措施。算法中的任何安全漏洞都会被操作系统更新(在本机API使用的情况下)作为目标,在开源库的情况下,需要新的软件版本,在最坏的情况下,可能需要更多的时间来维护用于更新它的库,而不是用于操作系统更新。
在做出这个决定时可能还有其他相关方面吗?