Spec-Zone .ru спецификации, руководства, описания, API

Содержание документации

Java™ SE 7 Усовершенствований в защите

Следующие темы затрагиваются:

• Улучшения в Java SE 7 Обновлений 2
• Улучшения в Java SE 7

Улучшения в Java SE 7 Обновлений 2

Область: Расширение Криптографии Java
Резюме: сертификаты С открытым ключом, содержащие Шифрование в эллиптических кривых (ECC) ключи, анализируются правильно SunPKCS11 JCE поставщик систем обеспечения безопасности на Солярисе 11. См. 7054637.

Улучшения в Java SE 7

Java SE 7 выпусков добавляет следующие опции:

• Шифрование в эллиптических кривых (ECC)

  Новый собственный провайдер был добавлен к Java SE 7 выпусков, которые обеспечивают несколько основанных на ECC алгоритмов (ECDSA/ECDH). Для получения дополнительной информации см. Поддерживаемый раздел Алгоритмов Провайдера SunEC в Архитектуре Криптографии Java Документация Провайдеров Oracle.

  
  
• Отключение Алгоритма CertPath

  Слабые криптографические алгоритмы могут теперь быть отключены. Например, алгоритм обзора MD2 больше не считают безопасным. Java SE 7 выпусков обеспечивает механизм для того, чтобы он отрицал использование определенных алгоритмов в обработке пути сертификации и квитировании TLS. См. Приложение D: Отключение Криптографических алгоритмов в Java Руководство Программиста PKI и Отключенные Криптографические алгоритмы в Расширении Защищенного сокета Java (JSSE) Справочник для получения дополнительной информации.

  
  
• JSSE (SSL/TLS)
  • TLS 1.1

    Провайдер SunJSSE теперь поддерживает TLS 1.1 как описано в RFC 4346. Самое важное обновление является защитой от сцепления блоков шифра (CBC) атаки.

    
    
  • TLS 1.2

    Провайдер SunJSSE теперь поддерживает TLS 1.2 как описано в RFC 5246. Между прочим это определяет различные внутренние алгоритмы хеширования, добавляют новые комплекты шифра, и содержат улучшенную гибкость, особенно для согласования криптографических алгоритмов.

    
    
  • Осуждаются слабые комплекты шифра

    На RFC 4346, RFC 5246, и RFC 5469, некоторые комплекты шифра были сделаны устаревшими и не должны использоваться. Эти устаревшие комплекты все отключаются по умолчанию в SunJSSE. Для получения дополнительной информации консультируйтесь со списками комплекта шифра в документации о провайдере SunJSSE.

    
    
  • Чувствительное к соединению доверительное управление

    У обоих доверительных менеджеров и ключевых менеджеров теперь есть возможность исследовать параметры соединения TLS, определенно SSLSession в стадии строительства, во время квитирования. Например, доверительный менеджер мог бы ограничить типы сертификатов, используемых основанный на списке алгоритмов действительной подписи.

    
    
  • Проверка конечной точки

    Алгоритм идентификации конечной точки может быть определен, чтобы проверить, что адрес узла удаленного компьютера соответствует свой предоставленный сертификат. Хотя этот тип проверки ранее выполнялся для протокола HTTPS (см. HttpsURLConnection и HostnameVerifier), такая проверка может теперь быть дополнительно выполнена на уровне TLS.

    
    
  • Пересмотр TLS

    Java SE поддерживает RFC 5746, который исправления проблема пересмотра в протоколе TLS.

    
    
  • SSLv2Hello, отключенный по умолчанию на клиенте

    В Java SE 7, SSLv2Hello удаляется из значения по умолчанию, включенного список протокола на клиенте.

    
    
  • Отключение алгоритма

    Слабые криптографические алгоритмы могут теперь быть отключены, как ранее описано.

    
    
  • Индикация Имени сервера (SNI) для клиента JSSE

    Java SE 7 выпусков поддерживает Индикацию Имени сервера (SNI) расширение в клиенте JSSE. SNI описывается в RFC 4366. Это позволяет клиентам TLS соединиться с виртуальными серверами.

    
    
  • Более трудная проверка номеров версий EncryptedPreMasterSecret

    Java SE 7 сжимает проверку номера версии во время TLS 1.1 и TLS 1.2 квитирования. См. Более трудную Проверку Номеров версий EncryptedPreMasterSecret в Архитектуре Криптографии Java Документация Провайдеров Oracle для получения дополнительной информации.

    
    

Кроме того, следующие улучшения добавляются:

Область: Безопасность
Стандарт/Платформа: Java SE 7
Резюме: требование алгоритма Безопасности было определено для Java SE 7, которые обеспечивают список алгоритмов, которые должны поддерживать все реализации Java SE 7. Сводка class применимых классов (исключая: java.security.Signature), был обновлен, чтобы включать требования реализации. Кроме того, все требования перечисляются в разделе Требований Реализации Стандартного документа Алгоритмов.
RFE: 5001004

Область: API: JSSE
Стандарт/Платформа: Java SE 7
Резюме: В предыдущих выпусках, за исключением алгоритма значения по умолчанию, не было никакого стандартного имени алгоритма для KeyManagerFactory. В Java SE 7 выпусков "PKIX" экспортируется как стандарт algorithem имя для KeymanagerFactory. Алгоритм KeyManagerFactory "PKIX" определяется как:
Фабрика для X509ExtendedKeyManagers, который управляет основанными на сертификате парами ключей X.509 для локальной аутентификации стороны согласно правилам, определенным th eIETF PKIX рабочая группа в RFC 3280 или его преемнике. KeyManagerFactory должен поддерживать инициализацию, используя class javax.net.ssl.KeyStoreBuilderParameters.
RFE: 7022855

Область: API: JSSE
Стандарт/Платформа: Java SE 7
Резюме: Поддержка TLS 1.2 была добавлена к провайдеру SunJSSE.
RFE: 6916074

Область: JSSE
Стандарт/Платформа: JDK 7
Резюме: пересмотр TLS фиксирует, был реализован. Пожалуйста, см. Объясненную Уязвимость Пересмотра TLS/SSLv3, Понимая Разрыв Атаки и Аутентификации Пересмотра TLS на Пересмотре TLS для получения дополнительной информации.

Область: JSSE
Стандарт/Платформа: JDK 7
Резюме: Поддержка Индикации Имени сервера (SNI) расширение была добавлена к клиенту JSSE в провайдере SunJSSE.
RFE: 6985179

Область: SASL
Стандарт/Платформа: JDK 7
Резюме: NTLM теперь поддерживается как механизм SASL на обоих сторона клиента и сервера. Только уровень аутентификации реализуется, и в передаче нет никакой защиты конфиденциальности или интеграции.
RFE: 6911951

Область: Безопасность
Стандарт/Платформа: JDK 7
Резюме: implementaton PKIX был улучшен, чтобы включать опцию, чтобы отклонить сертификаты, если соответствующим ключом не является strong достаточно, например хеш-функции MD2 или какой-либо ключ RA с размером ключа меньше чем 1024.
RFE: 6792180

Область: API: JSSE
Стандарт/Платформа: JDK 7
Резюме: Поддержка TLS 1.1 была добавлена к провайдеру SunJSSE, и SSLv2Hello "псевдо протокол" больше не является активным по умолчанию в провайдере SunJSSE.
RFE: 4873177

Область: JGSS
Стандарт/Платформа: JDK 7
Резюме: Java теперь читает keytab файл всякий раз, когда это keytab файл изменяется. Файл может быть пустым или несуществующим, когда приложение, которое использует файл, запускается.

Область: JGSS
Стандарт/Платформа: JDK 7
Резюме: конфигурационный файл значения по умолчанию теперь предусматривается JGSS с настройками krb5.conf значения по умолчанию для Windows и *nix систем. Это делает развертывание программы JGSS/krb5 очень легким, специально для развертывающихся апплетов Java.
RFE: 6483218, 6785456, 6552334

Область: JCE
Стандарт/Платформа: JDK 7
Резюме: провайдер SunPKCS11 теперь поддерживает Необработанное шифрование RSA, например, вызовы Cipher.getInstance("RSA/ECB/NoPadding"), когда базовая библиотека PKCS11 поддерживает механизм CKM-RSA_X_509. Кроме того, провайдер SunPKCS11 распознает "RSA" как псевдоним для "RSA/ECB/PKCS1Padding" преобразования, запрашивая объект Cipher.
RFE: 6994008

Область: JCE
Стандарт/Платформа: JDK 7
Резюме: провайдер SunPKCS11 теперь поддерживает ECB, режимы CBC с PKCS5Padding для определенных блочных шифров. Чтобы быть более определенным, это поддерживает следующие преобразования для вызовов Cipher.getInstance(...), когда соответствующий механизм PKCS11 поддерживается базовой библиотекой PKCS11:

DES, DESede, AES, and Blowfish with CBC mode and PKCS5Padding
DES, DESede, AES with ECB mode and PKCS5Padding
DES, DESede, AES with ECB mode and NoPadding

Область: JCE
Стандарт/Платформа: JDK 7
Резюме: провайдер SunPKCS11 теперь поддерживает шифрование AES со Встречным режимом (CTR), (например, вызовы Cipher.getInstance("AES/CTR/NoPadding")), когда underyling PKCS11 библиотека поддерживает механизм CKM_AES_CTR.
RFE: 6604496

Область: JCE
Стандарт/Платформа: JDK 7
Резюме: Учитывая, что соответствующая ошибка Соляриса (то есть 6306708 "CKM_SSL3_KEY_AND_MAC_DERIVE возвращает неправильные ключи шифра для экспортного ciphersuites") адресовалась в Солярисе 10 обновлений 5 выпусков, провайдер SunPKCS11 больше не отключает следующие два механизма по умолчанию:

CKM_SSL3_KEY_AND_MAC_DERIVE
CKM_TLS_KEY_AND_MAC_DERIVE

---

Авторское право © 1993, 2012, Oracle и/или его филиалы. Все права защищены.

Свяжитесь с Нами