Comment éviter d'installer “Force irrésistible” JCE fichiers de stratégie de déploiement d'une application?

J'ai une application qui utilise le chiffrement AES 256 bits qui n'est pas pris en charge par Java hors de la boîte. Je sais que pour obtenir que cela fonctionne correctement j'ai installer la JCE force illimitée, pots dans le dossier de sécurité. Ce qui est bien pour moi d'être développeur, je peux les installer.

Ma question est depuis cette application sera distribué à la fin la plupart des utilisateurs ne sera probablement pas avoir ces fichiers installés. Avoir la fin de l'utilisateur de télécharger ces juste pour faire de l'application de la fonction n'est pas une solution intéressante.

Est-il un moyen de rendre mon application de fonctionner sans écraser les fichiers sur l'utilisateur dans la machine? Un logiciel de tierce partie qui peut s'en occuper sans la politique de fichiers installés? Ou un moyen de référence de ces fichiers dans un BOCAL?

InformationsquelleAutor | 2009-07-24
  1. 167

    Il y a quelques couramment cité des solutions à ce problème. Malheureusement, aucune de ces sont entièrement satisfaisant:

    • Installer le force illimitée de la politique de fichiers. Alors que c'est probablement la solution idéale pour votre station de travail de développement, il devient rapidement un problème majeur (si ce n'est un obstacle) pour avoir les utilisateurs non-techniques de l'installation des fichiers sur tous les ordinateurs. Il est aucun moyen distribuer les fichiers avec votre programme; ils doivent être installés dans le répertoire JRE (qui peut même être en lecture seule en raison des autorisations).
    • Ignorer l'entreprise criminelle commune, l'API et utiliser une autre bibliothèque de cryptographie comme Château Gonflable. Cette approche nécessite un supplément de 1 MO de la bibliothèque, qui peut être une charge importante en fonction de l'application. Il se sent aussi stupide pour dupliquer les fonctionnalités incluses dans les bibliothèques standard. De toute évidence, l'API est également complètement différent de l'habituel l'entreprise criminelle commune de l'interface. (BC ne mettre en œuvre un JCE fournisseur, mais qui n'aide pas parce que la force de la clé de restrictions sont appliquées avant de la remise à la mise en œuvre.) Cette solution est également de ne pas permettre l'utilisation de 256 bits TLS (SSL) les suites de chiffrement, parce que la norme TLS bibliothèques appel de la JCE en interne pour déterminer toutes les restrictions.

    Mais ensuite, il y a de la réflexion. Est-ce que vous ne pouvez pas le faire à l'aide de la réflexion?

    private static void removeCryptographyRestrictions() {
if (!isRestrictedCryptography()) {
logger.fine("Cryptography restrictions removal not needed");
return;
}
try {
/*
* Do the following, but with reflection to bypass access checks:
*
* JceSecurity.isRestricted = false;
* JceSecurity.defaultPolicy.perms.clear();
* JceSecurity.defaultPolicy.add(CryptoAllPermission.INSTANCE);
*/
final Class<?> jceSecurity = Class.forName("javax.crypto.JceSecurity");
final Class<?> cryptoPermissions = Class.forName("javax.crypto.CryptoPermissions");
final Class<?> cryptoAllPermission = Class.forName("javax.crypto.CryptoAllPermission");
final Field isRestrictedField = jceSecurity.getDeclaredField("isRestricted");
isRestrictedField.setAccessible(true);
final Field modifiersField = Field.class.getDeclaredField("modifiers");
modifiersField.setAccessible(true);
modifiersField.setInt(isRestrictedField, isRestrictedField.getModifiers() & ~Modifier.FINAL);
isRestrictedField.set(null, false);
final Field defaultPolicyField = jceSecurity.getDeclaredField("defaultPolicy");
defaultPolicyField.setAccessible(true);
final PermissionCollection defaultPolicy = (PermissionCollection) defaultPolicyField.get(null);
final Field perms = cryptoPermissions.getDeclaredField("perms");
perms.setAccessible(true);
((Map<?, ?>) perms.get(defaultPolicy)).clear();
final Field instance = cryptoAllPermission.getDeclaredField("INSTANCE");
instance.setAccessible(true);
defaultPolicy.add((Permission) instance.get(null));
logger.fine("Successfully removed cryptography restrictions");
} catch (final Exception e) {
logger.log(Level.WARNING, "Failed to remove cryptography restrictions", e);
}
}
private static boolean isRestrictedCryptography() {
//This matches Oracle Java 7 and 8, but not Java 9 or OpenJDK.
final String name = System.getProperty("java.runtime.name");
final String ver = System.getProperty("java.version");
return name != null && name.equals("Java(TM) SE Runtime Environment")
&& ver != null && (ver.startsWith("1.7") || ver.startsWith("1.8"));
}

    Appelez simplement removeCryptographyRestrictions() à partir d'un initialiseur statique ou tel avant d'effectuer des opérations cryptographiques.

    La JceSecurity.isRestricted = false partie est tout ce qui est nécessaire pour l'utilisation de 256 bits algorithmes directement; cependant, sans les deux autres opérations, Cipher.getMaxAllowedKeyLength() sera toujours maintenir les rapports de 128 et 256-bit de chiffrement TLS suites ne fonctionne pas.

    Ce code fonctionne sur Oracle Java 7 et 8, et saute automatiquement le processus de Java 9 et OpenJDK où il n'est pas nécessaire. Étant un vilain hack après tout, cela ne fonctionne pas sur les autres fournisseurs de machines virtuelles.

    Il ne fonctionne pas sur Oracle Java 6, parce que le privé JCE classes sont obscurcis là. La dissimulation ne change pas d'une version à l'autre, donc il est toujours techniquement possible à l'appui de Java 6.

    • La réflexion solution susceptible de violer la Java Contrat de Licence: "F. de la TECHNOLOGIE JAVA RESTRICTIONS. Vous ne pouvez pas changer le comportement de ... des classes, des interfaces ou des sous-paquets qui sont identifiés comme 'java', 'javax', 'soleil', 'oracle' ou similaires de la convention ..."
    • Pourrait être. Vérifier avec un avocat avant l'expédition d'un produit qui contient ce morceau de code s'il vous concernent.
    • "Il n'y a aucune manière de distribuer les fichiers avec votre programme; ils doivent être installés dans le répertoire JRE" -- je ne suis pas un expert, mais c'est de ma compréhension, il est légal de distribuer/bundle un jre avec votre programme, y compris l'entreprise criminelle commune, la politique de fichiers à condition de respecter les termes de la licence.
    • Y compris un 100MB JRE avec votre programme est certainement une option dans certains cas. Mais sinon, les utilisateurs seront toujours installer les fichiers de stratégie manuellement, même si vous les incluez dans votre programme (à cause de diverses raisons comme les autorisations de fichier). Dans mon expérience, de nombreux utilisateurs ne sont pas capables de cela.
    • J'ai peut-être en cours d'exécution en même scénario --> stackoverflow.com/questions/30792156/... juste pour tester d'enlever cette restriction n'a pas encore de tenter de se connecter sur rien de moins que TLSv1.2
    • Grâce ntoskrnl , la solution fonctionne pour moi
    • Je reçois ce message d'erreur après l'exécution de cette: java.security.InvalidKeyException: Wrong algorithm: AES or Rijndael required
    • Il semble que la réflexion solution juste cessé de travailler dans 1.8.0_112. Il travaille dans 1.8.0_111, mais pas 112.
    • - Je l'utiliser dans une application. Après l'exécution des ennuis avec la final champ dans 8u111, je l'ai modifié de sorte qu'il peut modifier le champ final, à la suite de cette répondre. Le résultat est le même que ntoskrnl de la nouvelle version, sauf que je n'avais pas déclarer modifiersField comme final. Un de mes utilisateurs des rapports qu'il fonctionne dans 8u112 ainsi.
    • Tout ceci est lié à une des arcanes de la seconde GUERRE mondiale de la loi citant à l'exportation (qui comprend l'affichage sur l'Internet) de la cryptographie forte implémentations - que le gouvernement AMÉRICAIN a comparé à l'exportation de munitions (armes/armes). Phil Zimmerman de PGP a été poursuivie le long de ces lignes - c'est la raison pour Oracle n'a pas, jusqu'à très récemment offert fort des bibliothèques de chiffrement dans le cadre de la norme Java de téléchargement. en.wikipedia.org/wiki/...

    InformationsquelleAutor ntoskrnl
  2. 83

    Cela est désormais plus nécessaire pour Java 9, ni pour toute récente version de Java 6, 7 ou 8. Enfin!!! 🙂

    Par JDK-8170157, l'illimité de la stratégie de chiffrement est maintenant activé par défaut.

    Des versions spécifiques de l'JIRA question:

    • Java 9 (10, 11, etc..): une version officielle!
    • Java 8u161 ou ultérieure (Disponible maintenant)
    • Java 7u171 ou plus tard (Seulement disponible via "My Oracle Support"
    • Java 6u181 ou plus tard (Seulement disponible via "My Oracle Support"

    Noter que si, pour une raison étrange, l'ancien comportement est nécessaire en Java 9, il peut être défini à l'aide de:

    Security.setProperty("crypto.policy", "limited");
    • En fait, cette politique est la valeur par défaut, si aucune action n'est nécessaire en Java 9!
    • Lien: bugs.openjdk.java.net/browse/JDK-8170157
    • Comme de 2018/01/14 (dernière Oracle JDK est 8u151/152) ce n'est toujours pas activé par défaut sur Java 8, plus d'un an après cette réponse a été écrit à l'origine... Cependant, selon java.com/en/jre-jdk-cryptoroadmap.html il est destiné à l'assemblée générale sur 2018/01/16
    InformationsquelleAutor cranphin
  3. 22

    Voici la solution: http://middlesphere-1.blogspot.ru/2014/06/this-code-allows-to-break-limit-if.html

    //this code allows to break limit if client jdk/jre has no unlimited policy files for JCE.
//it should be run once. So this static section is always execute during the class loading process.
//this code is useful when working with Bouncycastle library.
static {
try {
Field field = Class.forName("javax.crypto.JceSecurity").getDeclaredField("isRestricted");
field.setAccessible(true);
field.set(null, java.lang.Boolean.FALSE);
} catch (Exception ex) {
}
}
    • C'est la même solution que la mienne, mais sans le "defaultPolicy" partie. Le billet de blog daté d'après ma réponse.
    • Mais est-ce une bonne chose? En temps réel, peuvent ce code de sécurité de l'application? Je ne suis pas sûr s'il vous plaît aidez-moi à comprendre l'incidence de la maladie.
    • Je reçois ce message d'erreur après l'exécution de cette: java.security.InvalidKeyException: Wrong algorithm: AES or Rijndael required
    • Comme de Java 8 construire 111, cette solution est insuffisante, comme le isRestricted champ est devenue définitive (bugs.openjdk.java.net/browse/JDK-8149417). @ntoskrnl la réponse prend soin de tout à l'inclusion éventuelle d'une "finale" modificateur. @M. Dudley commentaire sur le Java Accord de Licence s'applique toujours trop.
    InformationsquelleAutor mike
  4. 13

    Château gonflable nécessite encore des pots installé aussi loin que je peux dire.

    J'ai fait un petit test et il semblait confirmer cette:

    http://www.bouncycastle.org/wiki/display/JA1/Frequently+Demande+Questions

    InformationsquelleAutor timothyjc
  5. 13

    De JDK 8u102, la posté des solutions en s'appuyant sur la réflexion ne fonctionne plus: le champ de ces solutions est maintenant final (https://bugs.openjdk.java.net/browse/JDK-8149417).

    On dirait qu'il est de retour soit (un) à l'aide de Château Gonflable, ou (b) l'installation de l'entreprise criminelle commune, la politique de fichiers.

    • Vous pouvez toujours utiliser plus de réflexion stackoverflow.com/questions/3301635/...
    • Oui, @M. Dudley est la solution sera de toujours travailler pour le isRestricted champ, car il prend soin d'un ajout possible d'une "finale" modificateur.
    • Nouvelle version du JDK 8u151 est doté d'une Nouvelle propriété de Sécurité pour le contrôle de la crypto politique". Bottom line: enlever le "#" de la ligne "#crypto.politique=illimité" dans "lib\security\java.de sécurité": oracle.com/technetwork/java/javase/8u151-relnotes-3850493.html
    InformationsquelleAutor Sam Roberton
  6. 8

    Une alternative à la bibliothèque de cryptographie, jetez un oeil à Château Gonflable. Il a AES et beaucoup de fonctionnalités supplémentaires. C'est un libéral de la bibliothèque open source. Vous devrez utiliser à la légère, propriétaire de Château Gonflable API pour que cela fonctionne bien.

    • Ils sont d'une grande crypto fournisseur, mais encore besoin de l'illimité de la force de la JCE de fichier afin de travailler avec de grandes touches.
    • Si vous utilisez le Château Gonflable directement l'API vous n'avez pas besoin de la force illimitée de fichiers.
    InformationsquelleAutor
  7. 4

    Vous pouvez utiliser la méthode

    javax.crypto.Cipher.getMaxAllowedKeyLength(String transformation)

    pour tester la disponible la longueur de la clé, l'utiliser et d'en informer l'utilisateur sur ce qui se passe. Quelque chose indiquant que votre demande est en recul pour les clés 128 bits en raison de la politique de fichiers n'étant pas installé, par exemple. Conscientes de la sécurité des utilisateurs va installer les fichiers de stratégie, d'autres vont continuer à utiliser les plus faibles clés.

    InformationsquelleAutor Christian Schulte
  8. 3

    Pour notre application, nous avons eu une architecture client /serveur et nous a permis de décryptage/le cryptage des données au niveau du serveur. D'où la JCE fichiers ne sont requises.

    Nous avons eu un autre problème dont on avait besoin pour mettre à jour un pot de sécurité sur les machines client, par le biais de JNLP, il remplace les bibliothèques dans${java.home}/lib/security/ et la JVM lors de la première exécution.

    Qui fait le travail.

    InformationsquelleAutor Mohamed Mansour
  9. 2

    Voici une version mise à jour de ntoskrnl réponse.
    Il contient en outre une fonction pour supprimer le dernier modificateur comme Arjan mentionné dans les commentaires.

    Cette version fonctionne avec le JRE 8u111 ou plus récent.

    private static void removeCryptographyRestrictions() {
if (!isRestrictedCryptography()) {
return;
}
try {
/*
* Do the following, but with reflection to bypass access checks:
* 
* JceSecurity.isRestricted = false; JceSecurity.defaultPolicy.perms.clear();
* JceSecurity.defaultPolicy.add(CryptoAllPermission.INSTANCE);
*/
final Class<?> jceSecurity = Class.forName("javax.crypto.JceSecurity");
final Class<?> cryptoPermissions = Class.forName("javax.crypto.CryptoPermissions");
final Class<?> cryptoAllPermission = Class.forName("javax.crypto.CryptoAllPermission");
Field isRestrictedField = jceSecurity.getDeclaredField("isRestricted");
isRestrictedField.setAccessible(true);
setFinalStatic(isRestrictedField, true);
isRestrictedField.set(null, false);
final Field defaultPolicyField = jceSecurity.getDeclaredField("defaultPolicy");
defaultPolicyField.setAccessible(true);
final PermissionCollection defaultPolicy = (PermissionCollection) defaultPolicyField.get(null);
final Field perms = cryptoPermissions.getDeclaredField("perms");
perms.setAccessible(true);
((Map<?, ?>) perms.get(defaultPolicy)).clear();
final Field instance = cryptoAllPermission.getDeclaredField("INSTANCE");
instance.setAccessible(true);
defaultPolicy.add((Permission) instance.get(null));
}
catch (final Exception e) {
e.printStackTrace();
}
}
static void setFinalStatic(Field field, Object newValue) throws Exception {
field.setAccessible(true);
Field modifiersField = Field.class.getDeclaredField("modifiers");
modifiersField.setAccessible(true);
modifiersField.setInt(field, field.getModifiers() & ~Modifier.FINAL);
field.set(null, newValue);
}
private static boolean isRestrictedCryptography() {
//This simply matches the Oracle JRE, but not OpenJDK.
return "Java(TM) SE Runtime Environment".equals(System.getProperty("java.runtime.name"));
}
    • Il fonctionne très bien, mais la ligne ((Map<?, ?>) perms.get(defaultPolicy)).clear(); donne une erreur de compilation. Commentant ne semble pas avoir un impact sur sa fonctionnalité. Est-ce la ligne nécessaire?
    InformationsquelleAutor xoned
  10. 1

    Ici est une version modifiée de @ntoskrnl du code mettant en vedette isRestrictedCryptography vérifier par réel Chiffrement.getMaxAllowedKeyLength, slf4j la journalisation et le soutien de singleton de l'initialisation de l'application de bootstrap comme ceci:

    static {
UnlimitedKeyStrengthJurisdictionPolicy.ensure();
}

    Ce code correctement cesser de déformation avec la réflexion lors de l'illimité politique devient disponible par défaut en Java 8u162 comme @cranphin la réponse de prédit de.

    import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import javax.crypto.Cipher;
import java.lang.reflect.Field;
import java.lang.reflect.Modifier;
import java.security.NoSuchAlgorithmException;
import java.security.Permission;
import java.security.PermissionCollection;
import java.util.Map;
//https://stackoverflow.com/questions/1179672/how-to-avoid-installing-unlimited-strength-jce-policy-files-when-deploying-an
public class UnlimitedKeyStrengthJurisdictionPolicy {
private static final Logger log = LoggerFactory.getLogger(UnlimitedKeyStrengthJurisdictionPolicy.class);
private static boolean isRestrictedCryptography() throws NoSuchAlgorithmException {
return Cipher.getMaxAllowedKeyLength("AES/ECB/NoPadding") <= 128;
}
private static void removeCryptographyRestrictions() {
try {
if (!isRestrictedCryptography()) {
log.debug("Cryptography restrictions removal not needed");
return;
}
/*
* Do the following, but with reflection to bypass access checks:
*
* JceSecurity.isRestricted = false;
* JceSecurity.defaultPolicy.perms.clear();
* JceSecurity.defaultPolicy.add(CryptoAllPermission.INSTANCE);
*/
Class<?> jceSecurity = Class.forName("javax.crypto.JceSecurity");
Class<?> cryptoPermissions = Class.forName("javax.crypto.CryptoPermissions");
Class<?> cryptoAllPermission = Class.forName("javax.crypto.CryptoAllPermission");
Field isRestrictedField = jceSecurity.getDeclaredField("isRestricted");
isRestrictedField.setAccessible(true);
Field modifiersField = Field.class.getDeclaredField("modifiers");
modifiersField.setAccessible(true);
modifiersField.setInt(isRestrictedField, isRestrictedField.getModifiers() & ~Modifier.FINAL);
isRestrictedField.set(null, false);
Field defaultPolicyField = jceSecurity.getDeclaredField("defaultPolicy");
defaultPolicyField.setAccessible(true);
PermissionCollection defaultPolicy = (PermissionCollection) defaultPolicyField.get(null);
Field perms = cryptoPermissions.getDeclaredField("perms");
perms.setAccessible(true);
((Map<?, ?>) perms.get(defaultPolicy)).clear();
Field instance = cryptoAllPermission.getDeclaredField("INSTANCE");
instance.setAccessible(true);
defaultPolicy.add((Permission) instance.get(null));
log.info("Successfully removed cryptography restrictions");
} catch (Exception e) {
log.warn("Failed to remove cryptography restrictions", e);
}
}
static {
removeCryptographyRestrictions();
}
public static void ensure() {
//just force loading of this class
}
}
    InformationsquelleAutor Vadzim
  11. 0

    Lors de l'installation de votre programme, il suffit de demander à l'utilisateur et avoir un DOS script Batch ou un shell Bash script de téléchargement et la copie de la JCE dans le bon emplacement du système.

    J'ai l'habitude de le faire pour un serveur webservice et au lieu d'une mise en installer, je viens de scripts fournis pour l'installation de l'application avant que l'utilisateur puisse l'exécuter. Vous pouvez faire de l'application de l'onu-praticable jusqu'à ce qu'ils exécutez le script d'installation. Vous pouvez également en faire l'application se plaignent que la JCE est manquant et ensuite demander de télécharger et redémarrez l'application?

    • "faire mon app run sans écraser les fichiers sur la fin de l'ordinateur de l'utilisateur"
    • J'ai fait une complète modification de ma réponse depuis ma première réponse était un faux.
    InformationsquelleAutor djangofan