Pourquoi JCE Unlimited Strength n'est-il pas inclus par défaut?
Installer
- Java n'offre pas de prise en charge prête à l'emploi pour les fichiers de stratégie JCE Unlimited Strength
- Cela empêche les utilisateurs d'utiliser AES-256, la plus grande taille de clé d'une norme de cryptage largement utilisée
- Le fait de ne pas inclure les fichiers de stratégie entraîne de nombreux problèmes:
- exceptions inattendues
- Solutions de contournement insatisfaisantes :
- Installez-les simplement
- Utiliser une implémentation différente
- Utilisez une réflexion qui peut violer le Java Contrat de licence
- Rupture après les mises à jour JRE
- Confusion après l'installation
- Et plus encore!
- Tout ce bruit mène à des programmes cassés et/ou bogués
Question
- Pourquoi ne sont-ils pas fournis et traités comme un mouton noir?
- En fin de compte, ce ne sont pas des lois strictes d'exportation de crypto, mais simplement que personne ne l'a encore fait .
- En fait, c'est prévu depuis longtemps pour ne pas avoir à sauter à travers ces cerceaux.
- En Java 9, la cérémonie sera condensée en one-liner :
Security.setProperty("crypto.policy", "unlimited");
Désormais, la cryptographie illimitée est activée par défaut dans le JDK
Le JDK utilise les fichiers de stratégie de juridiction Java Cryptography Extension (JCE) pour configurer les restrictions des algorithmes de chiffrement. Auparavant, les fichiers de stratégie du JDK imposaient des limites à divers algorithmes. Cette version est livrée avec les versions limitée et fichiers de stratégie de juridiction illimités, avec illimité étant la valeur par défaut. Le comportement peut être contrôlé via la nouvelle propriété de sécurité 'crypto.policy' trouvée dans le fichier /lib/Java.security. Veuillez vous référer à ce fichier pour plus d'informations sur cette propriété.
Voir: http://www.Oracle.com/technetwork/Java/javase/8u161-relnotes-4021379.html#JDK-8170157
Les États-Unis ont des restrictions sur l'exportation de technologie cryptographique:
https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States
Auparavant, ils étaient très stricts - la cryptographie était classée comme des munitions, et vous ne pouviez télécharger que les produits complets des États-Unis et d'autres pays sur la liste blanche.
Les restrictions se sont beaucoup assouplies depuis lors, mais certaines restent, et le JCE à pleine puissance ne peut pas être distribué librement partout comme le JRE, c'est donc un package séparé.