Jurisdiction Policy Files 博客分类: SecurityJava javasecuritypolicyunrestricted policy files
程序员文章站
2024-03-13 19:02:03
...
全名叫Unlimited Strength Java(TM) Cryptography Extension (JCE) Policy Files for the Java(TM) Platform。本质是Java的policy文件(Java policy 相关请参见我的其他博文)。一般JDK内置的policy文件会对加密算法所使用的KEY的长度有所限制,一般限制在128bits(Triple-DES和RSA除外)。所以我们需要部署Unlimited Strength JCE Policy文件,来解开限制。
现象
我们可以用如下代码来做个小测试。
KeyGenerator keyGen = KeyGenerator.getInstance("AES");
keyGen.init(256);
SecretKey sk = keyGen.generateKey();
byte[] rawKey = sk.getEncoded();
KEY = new SecretKeySpec(rawKey, "AES");
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, KEY);
如果执行后,一般会发现如下异常。
Exception in thread "main" java.security.InvalidKeyException: Illegal key size or default parameters
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.init(DashoA13*..)
at javax.crypto.Cipher.init(DashoA13*..)
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.init(DashoA13*..)
at javax.crypto.Cipher.init(DashoA13*..)
接着,请修改密钥长度至128bits。如果没有InvalidKeyException异常抛出,那么问题一般就是密钥的长度受限于默认的policy文件。
keyGen.init(128);
安装Unrestricted Policy Files
访问JDK下载页面,一般来说,你可以在这个页面上找到一个名为“Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files for JDK/JRE”的链接。比如对应JDK8的下载链接:单击。
下载下来的文件是zip格式,解压缩后,可以看到2个Jar包和README。请按照readme文件的内容进行安装。
验证Policy文件是否安装成功
执行下面的代码,没有异常抛出,即安装成功。
KeyGenerator keyGen = KeyGenerator.getInstance("AES");
keyGen.init(256);
SecretKey sk = keyGen.generateKey();
byte[] rawKey = sk.getEncoded();
KEY = new SecretKeySpec(rawKey, "AES");
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, KEY);
原理
解开部署的2个Jar包,2个包内都有一个policy文件,内容如下:grant {
// There is no restriction to any algorithms.
permission javax.crypto.CryptoAllPermission;
};
真相大白。// There is no restriction to any algorithms.
permission javax.crypto.CryptoAllPermission;
};