我们有自定义JCE安全提供程序,它使用我们的智能卡来执行加密操作。
当我们尝试使用某些类时会出现问题,例如 Cipher,KeyAgreement,KeyGenerator,Mac或SecretKeyFactory 。
Java抛出异常:
Exception in thread "main" java.security.NoSuchProviderException: JCE cannot authenticate the provider Foo
我读了here和here,如果您尝试使用自定义JCE安全提供程序进行加密,则必须对其进行签名。这是因为一些政府关于密码学的一些法律。
我也读过这篇文章: How to sign a custom JCE security provider
似乎建议向Oracle邮寄一些有关贵公司/产品的信息并发送csr,以便他们可以颁发可用于代码签名的证书,并且有效期为5年。
我的问题是,有没有办法绕过这个进行测试?例如,通过更改某些策略或自行签署JAR。我们尝试自我签署JAR,它没有用,也许我们做错了。
如果没有从Oracle获得证书,有没有人有幸克服这个问题?
最后,我们将申请证书,但我读到最多可能需要10天才能得到回复,我们需要这个来进行测试。
答案 0 :(得分:1)
是的,您可以做的是修补jce.jar中的JarVerifier.class文件。 Jce.jar是JRE / JDK的一部分(取决于您是否只安装了Runtime Environment或Development Kit)。这种方法既繁琐又复杂,但它是确保除了jar验证码之外不会触及任何其他代码的最佳方法。
对于这些步骤,您将需要安装JDK以及十六进制编辑器。
例如,在我的Windows安装中,jce.jar位于C:\ Program Files \ Java \ jdk1.8.0_77 \ jre \ lib \ jce.jar。
找到后,在zip文件编辑器中打开jce.jar(例如WinZip,7zip)。导航到javax \ crypto \并将JarVerifier.class解压缩到您的桌面或其他所需位置以对其进行处理。 另外,制作此文件的备份副本!!
现在这里有侦探工作。打开终端并cd到解压缩JarVerifier.class的位置。运行此命令:javap -c JarVerifier.class
这将显示类文件中代码的重构Java字节码版本。您会看到一个名为void verify() throws ... JarException ...
的方法。
在我的JRE版本中,verify()的代码如下所示:
aload_0
getfield #15
ifnonnull 17
new #20
等...
验证方法通过使用异常来告诉调用方法是否给定的jar没有正确签名。如果没有抛出异常,则假定一切正常,并且可以使用JCE提供程序。我们可以通过将verify()方法的第一条指令更改为 return
的操作码来使用此功能。
将这个Java字节码指令的网页作为参考:https://en.m.wikipedia.org/wiki/Java_bytecode_instruction_listings。我们想要找到这个指令序列在JarVerifier.class文件中的确切位置,因此我们需要将之前由javap
打印的字节码转换为十六进制数字。然后,我们将在JarVerifier.class中搜索此数字字符串,以准确找到verify()方法的位置。
所以..使用维基百科页面作为参考,它是这样的:
2A
B4 00 0F
C7 <2 byte branch offset>
BB 00 14
计算分支偏移量有点单调乏味,我们在搜索中不需要它。
现在,搜索以下十六进制字节字符串:2AB4000FC7
。在我的JRE版本中,只有一个匹配。验证在C7之后2个字节还存在BB 00 14
,只是为了确保这确实是verify()方法。
最后,补丁。返回的操作码是B1
。只需将代表aload_0的2A替换为值B1即可。在我的版本中,这是在偏移0x2938。现在,所有的verify()都只是返回!
保存文件,退出并在新的JarVerifier.class文件上运行上面的javap
命令,以查看更改结果。您应该看到verify()中的第一条指令是return
。
使用上面的zip文件编辑器,将jce.jar中的JarVerifier.class替换为您的修改版本。如有必要,请保存jar文件。
就是这样! JCE jar验证已被禁用。