使用自定义JCE安全提供程序而不签名

时间:2017-06-09 06:34:58

标签: java security jce jca

我们有自定义JCE安全提供程序,它使用我们的智能卡来执行加密操作。

当我们尝试使用某些类时会出现问题,例如 Cipher,KeyAgreement,KeyGenerator,Mac或SecretKeyFactory

Java抛出异常:

Exception in thread "main" java.security.NoSuchProviderException: JCE cannot authenticate the provider Foo

我读了herehere,如果您尝试使用自定义JCE安全提供程序进行加密,则必须对其进行签名。这是因为一些政府关于密码学的一些法律。

我也读过这篇文章: How to sign a custom JCE security provider

似乎建议向Oracle邮寄一些有关贵公司/产品的信息并发送csr,以便他们可以颁发可用于代码签名的证书,并且有效期为5年。

我的问题是,有没有办法绕过这个进行测试?例如,通过更改某些策略或自行签署JAR。我们尝试自我签署JAR,它没有用,也许我们做错了。

如果没有从Oracle获得证书,有没有人有幸克服这个问题?

最后,我们将申请证书,但我读到最多可能需要10天才能得到回复,我们需要这个来进行测试。

1 个答案:

答案 0 :(得分:1)

是的,您可以做的是修补jce.jar中的JarVerifier.class文件。 Jce.jar是JRE / JDK的一部分(取决于您是否只安装了Runtime Environment或Development Kit)。这种方法既繁琐又复杂,但它是确保除了jar验证码之外不会触及任何其他代码的最佳方法。

对于这些步骤,您将需要安装JDK以及十六进制编辑器。

例如,在我的Windows安装中,jce.jar位于C:\ Program Files \ Java \ jdk1.8.0_77 \ jre \ lib \ jce.jar。

找到后,在zip文件编辑器中打开jce.jar(例如WinZip,7zip)。导航到javax \ crypto \并将JarVerifier.class解压缩到您的桌面或其他所需位置以对其进行处理。 另外,制作此文件的备份副本!!

现在这里有侦探工作。打开终端并cd到解压缩JarVerifier.class的位置。运行此命令:javap -c JarVerifier.class

这将显示类文件中代码的重构Java字节码版本。您会看到一个名为void verify() throws ... JarException ...的方法。

在我的JRE版本中,verify()的代码如下所示:

aload_0
getfield #15
ifnonnull 17
new #20

等...

验证方法通过使用异常来告诉调用方法是否给定的jar没有正确签名。如果没有抛出异常,则假定一切正常,并且可以使用JCE提供程序。我们可以通过将verify()方法的第一条指令更改为 return的操作码来使用此功能。

将这个Java字节码指令的网页作为参考:https://en.m.wikipedia.org/wiki/Java_bytecode_instruction_listings。我们想要找到这个指令序列在JarVerifier.class文件中的确切位置,因此我们需要将之前由javap打印的字节码转换为十六进制数字。然后,我们将在JarVerifier.class中搜索此数字字符串,以准确找到verify()方法的位置。

所以..使用维基百科页面作为参考,它是这样的:

  • aload_0:2A
  • getfield#15:B4 00 0F
  • ifnonnull 17:C7 <2 byte branch offset>
  • new#20:BB 00 14

计算分支偏移量有点单调乏味,我们在搜索中不需要它。

现在,搜索以下十六进制字节字符串:2AB4000FC7。在我的JRE版本中,只有一个匹配。验证在C7之后2个字节还存在BB 00 14,只是为了确保这确实是verify()方法。

最后,补丁。返回的操作码是B1。只需将代表aload_0的2A替换为值B1即可。在我的版本中,这是在偏移0x2938。现在,所有的verify()都只是返回!

保存文件,退出并在新的JarVerifier.class文件上运行上面的javap命令,以查看更改结果。您应该看到verify()中的第一条指令是return

使用上面的zip文件编辑器,将jce.jar中的JarVerifier.class替换为您的修改版本。如有必要,请保存jar文件。

就是这样! JCE jar验证已被禁用。