Sono uno sviluppatore Java e il mio architetto mi spinge ad usare Bouncycastle e mi ha detto che è meglio del JCE. So che Bouncycastle contiene più librerie ricche di JCE. Ma la domanda è: è sicuro utilizzare la crittografia standard non Java (Oracle) nell'ambiente di produzione?
Considerato l'ampio utilizzo di Bouncy Castle e un record di sicurezza che non è peggio rispetto ad altre implementazioni TLS, probabilmente non è un problema di sicurezza usarlo al posto delle librerie Java standard in produzione. Ciò significa che non direi che è sicuro al 100% ma probabilmente non è meno sicuro delle librerie Java standard.
Sono d'accordo con @Steffen. C'è ancora una cosa che devi considerare qui. Bouncycastle consente di utilizzare lunghezze di bit non consentite (in alcuni paesi) negli algoritmi Crypto. Quindi è molto importante analizzare quali sono i regolamenti della giurisdizione (o dei clienti) prima di implementarli nell'ambiente di produzione.
Come esempio Stati Uniti non consente di esportare nulla usa Bouncycastle.
Leggi altre domande sui tag java cryptography