Extensión de criptografía de Java

15

Me dijeron que, para admitir el cifrado AES256 dentro de mi aplicación Java, necesitaría el JCE con los archivos de política de jurisdicción de fuerza ilimitada.

Descargué esto de Oracle y lo descomprimí y solo veo 2 JARs:

  • %código%; y
  • local_policy.jar

¡Sólo quiero confirmar que no me estoy perdiendo nada aquí! Mi comprensión (después de leer US_export_polic.jar ) es que simplemente coloco estos dos en mi directorio README.txt y deberían estar instalados.

Por los nombres de estos JARs, tengo que asumir que no es la API de Java Crypto que no puede manejar AES256, pero de hecho es un problema legal , ¿quizás? Y que estos dos JAR básicamente le dicen al JRE " sí, es legalmente aceptable ejecutar este nivel de criptografía (AES256). " ¿Estoy correcto o fuera de la base?

    
pregunta herpylderp 07.07.2012 - 15:06
fuente

1 respuesta

14

La siguiente publicación del blog responde a tus preguntas:

enlace

Necesita efectivamente los dos JAR para poder usar el cifrado AES256, necesita realizar los siguientes pasos y cito:

  

Copie los dos archivos JAR en la carpeta / jre / lib / security / de su JDK, reemplazando los archivos con nombres similares que ya están allí.

Ahora, a la segunda parte de su pregunta: sí, se trata de cuestiones legales:

  

Debido a restricciones de control de importación por parte de los gobiernos de unos pocos   En los países, los archivos de política de jurisdicción enviados especifican que “fuerte”   pero se puede usar criptografía limitada. Una versión de "fuerza ilimitada"   de estos archivos que indican que no hay restricciones en las fortalezas criptográficas   está disponible para aquellos que viven en países elegibles (que es la mayoría   países). Pero solo la versión "fuerte" puede ser importada a esos   Países cuyos gobiernos imponen restricciones. El marco de JCE   Cumplirá las restricciones especificadas en la jurisdicción instalada.   archivos de política.

También, hay una Q / A relacionada en la pila de seguridad: Leyes de exportación en la nube (tamaño de clave) . Aunque la pregunta es específica de la nube, la respuesta principal abarca más terreno que solo la "nube" y enumera los países a los que no puede obtener una licencia para vender su software y aquellos para los que necesita un permiso de importación.

Finalmente, puede encontrar más información en Wikipedia sobre Exportación de criptografía en los Estados Unidos .

    
respondido por el Jalayn 07.07.2012 - 15:28
fuente

Lea otras preguntas en las etiquetas