Estensione della crittografia di Java

15

Mi è stato detto che per supportare la crittografia AES256 all'interno della mia app Java avrei bisogno del JCE con i file dei criteri di giurisdizione illimitata.

Ho scaricato questo da Oracle e l'ho decompresso e sto vedendo solo 2 JAR:

  • %codice%; e
  • local_policy.jar

Voglio solo confermare che non mi manca niente qui! La mia comprensione (dopo aver letto US_export_polic.jar ) è che ho semplicemente inserito questi due nella mia directory README.txt e dovrebbero essere installati.

Dai nomi di questi JAR devo presumere che non sia l'API Java Crypto che non può gestire AES256, ma è in effetti un problema legale , forse? E che questi due JAR in sostanza dicono al JRE " sì, è legalmente accettabile eseguire questo livello di crittografia (AES256). " Sono corretto o off-base?

    
posta herpylderp 07.07.2012 - 15:06
fonte

1 risposta

14

Il seguente post del blog risponde alle tue domande:

link

Hai effettivamente bisogno che i due JAR siano in grado di utilizzare la crittografia AES256, e devi eseguire i seguenti passaggi e cito:

Copy the two JAR files to the your JDK’s /jre/lib/security/ folder, replacing the similarly named files that are already there.

Ora, alla seconda parte della tua domanda: sì, si tratta di diritti legali:

Due to import control restrictions by the governments of a few countries, the jurisdiction policy files shipped specify that “strong” but limited cryptography may be used. An “unlimited strength” version of these files indicating no restrictions on cryptographic strengths is available for those living in eligible countries (which is most countries). But only the “strong” version can be imported into those countries whose governments mandate restrictions. The JCE framework will enforce the restrictions specified in the installed jurisdiction policy files.

Inoltre, vi è un Q / A correlato sullo stack di sicurezza: Leggi sull'esportazione nel cloud (dimensione della chiave) . Sebbene la domanda sia specifica per il cloud, la risposta principale copre più di un semplice "cloud" ed elenca i paesi in cui non è possibile ottenere una licenza per vendere il software e quelli per i quali è necessario un permesso di importazione.

Infine, puoi trovare maggiori informazioni su Wikipedia riguardo Esportazione di crittografia negli Stati Uniti .

    
risposta data 07.07.2012 - 15:28
fonte

Leggi altre domande sui tag