Spec-Zone .ru спецификации, руководства, описания, API

Содержание документации

IV части: Безопасная Связь, используя более сильные алгоритмы шифрования (Java SE 6.0)

Упражнение 7: Конфигурирование, чтобы использовать более сильные алгоритмы шифрования в среде Kerberos, защитить передачу

Цель этого осуществления:

Цель этого осуществления состоит в том, чтобы изучить, как использовать различные алгоритмы шифрования Kerberos, чтобы защитить передачу. В J2SE 1.4, Java GSS/Kerberos оказанная поддержка для только типа шифрования DES. Java провайдер GSS/Kerberos был улучшен в J2SE 5.0 и более поздних выпусках, чтобы поддерживать более сильные алгоритмы шифрования Kerberos, и соответствует последней спецификации RFC4120 Kerberos. Поддержка различных типов шифрования Kerberos, таких как AES256, AES128, 3DES, RC4-HMAC, и DES является теперь всеми доступными. J2SE 5.0 поддерживает 3DES и DES типы шифрования Kerberos. Поддержка AES и RC4-HMAC в Kerberos доступна для Java SE 6 вперед.

Вот является список всех типов шифрования, поддерживаемых Java провайдером GSS/Kerberos в Java SE 6.0:

1. AES256-CTS
2. AES128-CTS
3. RC4-HMAC
   
4. DES3-CBC-SHA1
5. ДЕС-КБК-МД5
6. CRC CBC DES
   

Шаги, чтобы следовать:

1. Сконфигурируйте Центр распределения ключей (KDC) и обновите базу данных Kerberos
   
   Сначала Вы должны обновить, чтобы использовать Центр распределения ключей (KDC), который поддерживает необходимые типы шифрования Kerberos, такие как Солярис 10 или последний MIT Kerberos 1.4 от распределения MIT. Если Вы используете Активный Каталог на платформе Windows, он только поддерживает DES и типы шифрования RC4-HMAC.
   
   Вы должны будете обновить базу данных Kerberos, чтобы генерировать новые ключи с более сильными алгоритмами шифрования. По умолчанию Солярис 10 KDC генерирует ключи для всех вышеупомянутых перечисленных типов шифрования. Можно теперь создать keytab, который будет включать все ключи для всех вышеупомянутых типов шифрования.
   
   ОТМЕТЬТЕ: Если Вы хотите использовать Windows 2000 KDC, можно сконфигурировать, чтобы использовать DES и типы шифрования RC4-HMAC, которые доступны на машине Windows.
   
   
2. Отредактируйте конфигурационный файл Kerberos. Это располагается в src/krb5.conf
   
   Вы должны будете отредактировать конфигурационный файл Kerberos, чтобы выбрать требуемые используемые типы шифрования. Обязательные параметры упоминаются ниже, который Вы должны будете вставить под libdefaults разделом конфигурационного файла Kerberos. С целью этого осуществления все необходимые записи были добавлены к демонстрационному конфигурационному файлу Kerberos, включенному с осуществлением, и записи были прокомментированы. Чтобы включить требуемому типу шифрования, Вы только должны непрокомментировать необходимые записи.
   
   
   • Включать AES256-CTS тип шифрования
     
     

     [libdefaults]
     default_tkt_enctypes = aes256-cts
     default_tgs_enctypes = aes256-cts
     permitted_enctypes = aes256-cts
     
     

     ОТМЕТЬТЕ: Солярис 10 не поддерживает AES256 по умолчанию. Вы должны будете установить следующий packages:-
     
     

     SUNWcry, SUNWcryr, SUNWcryptoint 
     

     Кроме того, JCE в Java SE также не поддерживает AES256 по умолчанию.
     
     Вы должны будете установить JCE crypto политика с неограниченной версией, чтобы позволить AES с 256-разрядным ключом.
     
   • 
     
     
   • Включать AES128-CTS тип шифрования
     
     [libdefaults]
default_tkt_enctypes = aes128-cts
default_tgs_enctypes = aes128-cts
permitted_enctypes = aes128-cts


   • Включать RC4-HMAC тип шифрования
     
     [libdefaults]
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
permitted_enctypes = rc4-hmac


   • Включать DES3-CBC-SHA1 тип шифрования
     
     [libdefaults]
default_tkt_enctypes = des3-cbc-sha1
default_tgs_enctypes = des3-cbc-sha1
permitted_enctypes = des3-cbc-sha1
   • 
     
     
   • Включать DES-CBC-MD5 тип шифрования
     
     [libdefaults]
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5
permitted_enctypes = des-cbc-md5
   • 
     
     
   • Включать DES-CBC-CRC тип шифрования
     
     [libdefaults]
default_tkt_enctypes = des-cbc-crc
default_tgs_enctypes = des-cbc-crc
permitted_enctypes = des-cbc-crc
     
     ОТМЕТЬТЕ: Если вышеупомянутые параметры не будут добавлены к конфигурационному файлу Kerberos, то Солярис 10 примет значение по умолчанию, чтобы использовать AES128 enctype. Если экспортные crypto пакеты были установлены, это примет значение по умолчанию, чтобы использовать AES256 enctype.
     
     
     ОТМЕТЬТЕ: Уничтожьте любой существующий ранее Kerberos TGT в кэше билета от предыдущего осуществления.

     
     % kdestroy 
     

   • 
     
   • Запустите новое окно и запустите сервер, используя обновленный krb5.conf
     

      
           % xterm &
           % java
             -Djava.security.auth.login.config=jaas-krb5.conf \
             -Djava.security.krb5.conf=krb5.conf \
              GSSServer
     
     

   • Выполните клиентское приложение, используя обновленный krb5.conf. GssClient берет два параметра: имя службы и имя сервера, на котором работает служба. Например, если служба host работа машины j1hol-001, Вы ввели бы следующий. Когда запрошено пароль, введите changeit.
     

     
     % java
     -Djava.security.auth.login.config=jaas-krb5.conf 
       -Djava.security.krb5.conf=krb5.conf \
     GSSClient host j1hol-001
     
     

Сводка:

В этом осуществлении Вы изучили, как записать клиент-серверное приложение, которое использует Java API GSS, чтобы аутентифицировать и связаться надежно друг с другом, используя более сильные алгоритмы шифрования Kerberos. Можно включить отладке Kerberos (-Dsun.security.krb5.debug=true), чтобы получить информацию об используемом типе шифрования Kerberos.

---

Авторское право © 1993, 2011, Oracle и/или его филиалы. Все права защищены.

Свяжитесь с Нами