Rozšíření Java Cryptography Extension

Java Cryptography Extension ( zkr. JCE ) je oficiálně vydané standardní rozšíření pro platformu Java a součást Java Cryptography Architecture (JCA). Jedná se o sadu balíčků, které poskytují rámec a implementaci takových kryptografických úloh, jako je šifrování a dešifrování dat, generování a ověřování řídicích klíčů, stejně jako implementace algoritmů Message Authentication Code (MAC) [1] .

Java Cryptographic Extension je založeno na stejném principu jako Java Cryptographic Architecture (JCA) a je považováno za součást JCA. Faktem je, že americké zákony zakazují export určitých typů kryptografického softwaru (zejména symetrické šifrování a vývoj společného klíčového materiálu) mimo Spojené státy a Kanadu nebo umožňují export se zkrácenými klíči. Standardní třídy JCA obsahují pouze hašovací funkce, generátory klíčů a další funkce, které nepodléhají tomuto omezení a lze je bezpečně exportovat jako součást platformy Java 2. Silné šifrovací algoritmy podléhající omezením exportu kryptografických dat v USA je však nutné získat jiné zdroje, proto jsou dodávány jako samostatný produkt - JCE.

Java Cryptographic Extension je navrženo tak, aby bylo možné připojit další kryptografické knihovny a hladce poskytovat nové algoritmy [2] .

Komponenty v JDK 1.2

V současné době se v JDK 1.2 kryptografické rozšíření dodává ve třech balíčcích:

javax.crypto - rozhraní a třídy pro symetrické šifrování

javax.crypto.interfaces - rozhraní pro odvození klíče Diffie-Hellman

javax.crypto.spec - třídy pro správu klíčů a parametrů kryptografických algoritmů

Funkčnost

Stejně jako JCA, ani JCE nezávisí na implementaci konkrétních algoritmů. Pomocí SPI lze do programovacího prostředí Java současně integrovat různé implementace od různých výrobců. Od verze 1.4 Java obsahuje JCE a JCA, ale další implementace lze bez problémů připojit jak staticky, tak dynamicky.

Java Cryptographic Extension nabízí následující funkce:

šifra - kryptografické algoritmy ( symetrické a asymetrické ) pro šifrování , blokové a proudové šifry
správa klíčů – třídy KeyGenerator pro generování klíčů, KeyAgreement pro bezpečnou výměnu klíčů a SecretKeyFactory pro oddělení soukromých a veřejných klíčů
ověření pravosti kódů
vytváření bezpečných objektů a digitálních podpisů

JCE Audience

Java Cryptographic Extension má bezpečnostní funkce navržené pro různé cílové skupiny.

Uživatelé

Vestavěné bezpečnostní funkce JCE chrání uživatele před škodlivým softwarem (včetně virů), uchovávají uživatelské soubory a uživatelské informace v soukromí a ověřují identitu každého poskytovatele kódu. Uživatel může také v případě potřeby podat žádosti o bezpečnostní kontroly.

Vývojáři

Vývojář může použít metody JCE k zahrnutí funkcí zabezpečení do svých programů, včetně kryptografických služeb a bezpečnostních kontrol. JCE vám umožňuje definovat a integrovat vaše vlastní přístupová práva (řízení přístupu k určitým zdrojům) a implementace kryptografických bezpečnostních služeb. Kromě toho jsou třídy JCE navrženy tak, aby spravovaly své vlastní páry soukromých/soukromých klíčů a certifikovaly veřejné klíče od lidí, kterým vývojář důvěřuje.

Správci systému, vývojáři a uživatelé

Nástroje JCE spravují úložiště klíčů (databáze klíčů a certifikátů); vytvářet digitální podpisy pro soubory JAR a také ověřovat pravost takových podpisů a integritu podepsaného obsahu; umožňují vytvářet a upravovat soukromé soubory, které určují bezpečnost jejich instalace. [2]

Pozoruhodné implementace JCE

Různé implementace JCE zahrnují balíček Cryptix JCE, balíček Bouncy Castle a balíček IAIK JCE.

Cryptix JCE

Balíček Cryptix JCE je nejznámější z bezplatných rozšíření. Práce na něm začaly v roce 1995. Byla to první dostupná kryptografická knihovna pro Javu. Poté nebyla kryptografie široce dostupná a tento projekt hrál důležitou roli v ochraně informací při vývoji programů na platformě Java. Nejnovější verze Cryptix byla vydána 28. dubna 2005. Ve stejném roce byla ukončena podpora pro Cryptix.

Balíček Cryptix JCE obsahuje:

šifry Blowfish, CAST5, DES, IDEA, MARS, RC2, RC4, RC6, Rijndael, Serpent, SKIPJACK, Square, TripleDES, Twofish.
Protokoly výměny klíčů Diffie-Hellman
šifrovací metody CBC, ECB, OFB
hashovací funkce - MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-0, SHA-1, Tiger
MAC kódy - HMAC-MD2, HMAC-MD4, HMAC-MD5, HMAC-RIPEMD-128, HMAC-RIPEMD-160, HMAC-SHA-0, HMAC-SHA-1, HMAC-Tiger
podpisy - RawDSA, RSA
asymetrické šifry - ElGamal, RSA [3]

Skákací hrad

Stejně jako Cryptix JCE je balíček Bouncy Castle zdarma. První oficiální vydání skákacího hradu se objevilo v květnu 2000 a obsahovalo asi 27 000 řádků kódu. Projekt se neustále rozrůstal a do roku 2012 měl kód Bouncy Castle pro Javu přes 300 000 řádků [1] .

To zahrnuje

implementace výměnného protokolu Diffie-Hellman, včetně verze algoritmu eliptické křivky.
výpočet bezklíčových hashovacích funkcí zpráv - MD2, MD4, MD5, Tiger, RIPEMD, SHA
výpočet klíčových hashovacích funkcí zpráv - CMAC, HMAC
asymetrické šifrování PKCS 1
symetrické šifrování s DES, TripleDES, AES, Blowfish, IDEA, RC2, RC4, RC5, RC6, Twofish, Skipjack a mnoha dalšími šiframi
generátory klíčů, párů klíčů a dalších parametrů kryptografických algoritmů.
Výpočty MAC pomocí libovolné blokové šifry, která zpracovává text v blocích pomocí metody CBC, CFB, OFB
algoritmy elektronického digitálního podpisu RSA, DSA, EC-DSA

a má následující vlastnosti

obsahuje kryptografická API pro jazyky Java a C#
obsahuje poskytovatele pro JCE a JCA
obsahuje vlastní implementace JCE 1.2.1 (tj. balíček neobsahuje kódy JCE 1.2.1 společnosti Sun, které nelze exportovat do USA)
podporuje specifikace kódování objektů ASN.1
má podporu pro certifikáty X.509 různých verzí
má podporu pro Open PGP, OCSP, TSP atd.

IAIK JCE

Komerční balíček implementovaný Institutem pro aplikované zpracování a komunikaci informací (IAIK) Technické univerzity v Grazu. [čtyři]

Příklady

Šifrování pole

Následující příklad ukazuje implementaci šifrování bajtového pole pomocí algoritmu AES. K napsání programu byly použity nástroje balíčku BouncyCastle. [5]

BufferedBlockCipher cipher = new PaddedBufferedBlockCipher ( new CBCBlockCipher ( new AESFastEngine () ) ); SecureRandom srr = new SecureRandom (); byte [] AESkey = nový byte [ 16 ] ; srr _ nextBytes ( AESkey ); byte [] AESinitV = nový byte [ 16 ] ; srr _ nextBytes ( AESinitV ); ParametersWithIV piv = new ParametersWithIV ( new KeyParameter ( AESkey ), AESinitV ); šifra . init ( true , piv ); byte [] výsledek = nový byte [ šifra . getOutputSize ( toEncrypt . length ) ] ; int len = šifra . processBytes ( toEncrypt , 0 , toEncrypt . length , result , 0 ); zkuste { šifra . doFinal ( vysledek , len ); } catch ( CryptoException ce ) { result = "Chyba šifry" . getBytes (); ce . printStackTrace (); }

Poznámky

↑ 12 bouncycastle.org . _ www.bouncycastle.org. Získáno 17. prosince 2016. Archivováno z originálu 18. dubna 2018. (neurčitý)
↑ 12 Jason Weiss . Rozšíření kryptografie Java : praktický průvodce pro programátory. — Morgan Kaufmann Publishers, 2004.
↑ Projekt Cryptix . Získáno 19. prosince 2016. Archivováno z originálu dne 23. dubna 2018. (neurčitý)
↑ Bezpečné informační a komunikační technologie . Získáno 11. března 2016. Archivováno z originálu 18. dubna 2018. (neurčitý)
↑ M.S. Zuev, K.G. Mirošnikov. O jednom kryptografickém rozšíření Java (ruština) // Bulletin of TSU. - 2008. - 17. listopadu.

Odkazy

Referenční příručka Java Cryptography Architecture (JCA).
Stáhnout pro Java 6 , Java 7 a Java 8 .
IAIK-JCE