java - 使用自定义 JCE 安全提供程序而不进行签名-6ren

java - 使用自定义 JCE 安全提供程序而不进行签名

转载作者：行者123 更新时间：2023-11-30 06:40:24

我们有自定义的 JCE 安全提供商，它使用我们的智能卡来执行加密操作。

当我们尝试使用某些类(如 Cipher、KeyAgreement、KeyGenerator、Mac 或 SecretKeyFactory)时，我们遇到了问题。

Java 抛出异常:

Exception in thread "main" java.security.NoSuchProviderException: JCE cannot authenticate the provider Foo

我读到here和 here如果您尝试使用自定义 JCE 安全提供程序进行加密，则必须对它进行签名。这是因为一些政府中有关密码学的一些法律。

我还读过这篇文章: How to sign a custom JCE security provider

看来建议是向 Oracle 邮寄一些有关您公司/产品的信息并发送 csr，以便他们可以颁发可用于代码签名且有效期为 5 年的证书。

我的问题是，有什么方法可以解决这个问题以进行测试吗？例如，通过更改某些策略或对 JAR 进行自签名。我们尝试对 JAR 进行自签名，但没有成功，也许我们做错了什么。

有没有人在没有获得 Oracle 证书的情况下幸运地解决了这个问题？

最后，我们将申请证书，但我了解到最多可能需要 10 天才能得到回复，我们需要这个来进行测试。

最佳答案

是的，您可以做的是修补 jce.jar 中的 JarVerifier.class 文件。 Jce.jar 是 JRE/JDK 的一部分(取决于您是否只安装了运行时环境或开发工具包)。这种方法虽然繁琐且复杂，但它是确保您不触及jar验证代码之外的任何其他代码的最佳方法。

对于这些步骤，您需要安装 JDK 以及十六进制编辑器。

例如，在我的 Windows 安装中，jce.jar 位于 C:\Program Files\Java\jdk1.8.0_77\jre\lib\jce.jar。

找到后，在 zip 文件编辑器(例如 WinZip、7zip)中打开 jce.jar。导航到 javax\crypto\并将 JarVerifier.class 提取到桌面或其他所需位置以进行处理。 另外，请备份该文件!!

现在侦探工作来了。打开终端并 cd 到提取 JarVerifier.class 的位置。运行此命令:javap -c JarVerifier.class

这将向您显示类文件中代码的重构 Java 字节码版本。您将看到一个名为 void verify() throws ... JarException ... 的方法.

在我的 JRE 版本中，verify() 的代码如下所示:

aload_0
getfield #15
ifnonnull 17
new #20

等等...

验证方法通过使用异常来告诉调用方法给定的 jar 是否未正确签名。如果没有抛出异常，则假定一切正常，并且可以使用 JCE 提供程序。我们可以通过简单地将 verify() 方法的第一条指令更改为操作码 return 来利用这一点。 .

拉出这个Java字节码指令网页作为引用:https://en.m.wikipedia.org/wiki/Java_bytecode_instruction_listings 。我们想要找到这个指令序列在 JarVerifier.class 文件中的具体位置，因此我们需要转换 javap 打印出来的字节码。早于十六进制数。然后，我们将在 JarVerifier.class 中搜索这串数字，以准确找到 verify() 方法所在的位置。

所以..使用维基百科页面作为引用，它是这样的: