Adam Langley นักวิจัยด้านความปลอดภัยของกูเกิล (เป็นคนเสนอให้ CA ต้องเปิดเผยการออกใบรับรองตั้งแต่ปี 2011) ออกมาอธิบายแนวคิดการพัฒนาของ BoringSSL ไลบรารีเข้ารหัสที่กูเกิลแยกโครงการออกมาจาก OpenSSL ว่าแม้จะมี API คล้ายกับ OpenSSL แต่มีความแตกต่างกันลงลึกถึงระดับล่างจำนวนมาก

บล็อคของ Langley ระบุโครงการภายนอกไม่จำเป็นต้องย้ายมาใช้ BoringSSL เพราะจะมีปัญหาความเข้ากันได้อยู่หลายจุดจนกระทั่งไม่คุ้ม ตัวแอปพลิเคชั่นเองไม่สามารถใช้งานสองไลบรารีพร้อมกันได้ เพราะมีชื่อฟังก์ชั่นซ้ำกันเป็นจำนวนมาก และความเปลี่ยนแปลงคำนึงถึงการใช้งานของกูเกิลเองเป็นหลัก อย่างไรก็ตาม BoringSSL ถูกใช้งานใน Chromium และ Android M เป็นต้นไป ทำให้นักพัฒนาภายนอกอาจจะต้องเข้าใช้งาน BoringSSL ด้วย

กระบวนการแตกโครงการของ BoringSSL ก็ไม่เหมือนโครงการอื่นที่มักจะสำเนาโครงการมาทั้งชุดแล้วค่อยแก้ แต่เป็นการพิจารณาทีละฟังก์ชั่น, ปรับฟอร์แมตโค้ดใหม่, ทำความสะอาดโค้ด, หรือบางทีก็ทิ้งบางฟังก์ชั่นไป โค้ดทั้งหมดถูกปรับให้สามารถสร้างเอกสารประกอบโค้ดได้อัตโนมัติ โครงการตัดกระบวนการเข้ารหัสเก่าๆ ออกเป็นจำนวนมาก เช่น Blowfish, RC5, MD2 จากเดิม OpenSSL มีโค้ดทั้งหมด 468,000 บรรทัด ตอนนี้ BoringSSL มี 200,000 บรรทัดแม้จะรวมกระบวนการเข้ารหัสใหม่ๆ ที่กูเกิลเพิ่มเข้าไปแล้วก็ตาม

กระบวนการสร้างสุ่มเลิกใช้กระบวนการที่ซับซ้อนของ OpenSSL เดิม แต่ใช้ urandom ของลินุกซ์โดยตรง, กระบวนการแจ้งข้อผิดพลาดปรับจากระบบของ OpenSSL ที่ค่อนข้างไม่เหมือนใคร กระบวนการเข้ารหัสแบบ ChaCha20-Poly1305 ของกูเกิลเองกำลังรอการรีวิวเร็วๆ นี้ กระบวนการเข้ารหัสอื่น เช่น Curve25519 และ Ed25519 ก็น่าจะรองรับเร็วๆ นี้เช่นกัน ไปจนถึงโปรโตคอล TLS 1.3 ก็น่าจะรองรับภายในปีหน้า

ที่มา - Imperial Violet