Extensão de criptografia Java

15

Foi-me dito que, para suportar a criptografia AES256 dentro do meu aplicativo Java, eu precisaria do JCE com Arquivos de Política de Jurisdição de Força Ilimitada.

Eu baixei isso do Oracle e o descompactei e só vejo 2 JARs:

  • %código%; e
  • local_policy.jar

Eu só quero confirmar que não estou sentindo falta de nada aqui! Meu entendimento (depois de ler o US_export_polic.jar ) é que eu deixo esses dois no meu diretório README.txt e eles devem ser instalados.

Pelos nomes desses JARs, devo presumir que não é a API do Java Crypto que não pode manipular o AES256, mas, na verdade, é um problema legal , talvez? E que esses dois JARs basicamente dizem ao JRE " sim, é legalmente aceitável executar este nível de criptografia (AES256). " Estou correto ou fora da base?

    
por herpylderp 07.07.2012 / 15:06
fonte

1 resposta

14

A postagem do blog a seguir responde às suas perguntas:

link

Você efetivamente precisa dos dois JARs para poder usar a criptografia AES256 e precisa executar as etapas a seguir, e cito:

Copy the two JAR files to the your JDK’s /jre/lib/security/ folder, replacing the similarly named files that are already there.

Agora, para a segunda parte da sua pergunta: sim, é uma questão legal:

Due to import control restrictions by the governments of a few countries, the jurisdiction policy files shipped specify that “strong” but limited cryptography may be used. An “unlimited strength” version of these files indicating no restrictions on cryptographic strengths is available for those living in eligible countries (which is most countries). But only the “strong” version can be imported into those countries whose governments mandate restrictions. The JCE framework will enforce the restrictions specified in the installed jurisdiction policy files.

Além disso, há um Q / A relacionado na pilha de segurança: leis de exportação na nuvem (tamanho da chave) . Embora a questão seja específica para a nuvem, a resposta principal abrange mais informações do que apenas a "nuvem" e lista os países para os quais você não pode obter uma licença para vender seu software e aqueles para os quais você precisa de permissão de importação.

Por fim, você pode encontrar mais informações na Wikipédia sobre os Exportação de criptografia nos Estados Unidos .

    
por 07.07.2012 / 15:28
fonte