使用自定义 JCE 安全提供程序而不进行签名

Question

我们有自定义的 JCE 安全提供商，它使用我们的智能卡来执行加密操作。

当我们尝试使用某些类（如Cipher、KeyAgreement、KeyGenerator、Mac 或 SecretKeyFactory）时，我们会遇到问题。

Java抛出异常：

Exception in thread "main" java.security.NoSuchProviderException: JCE cannot authenticate the provider Foo

我在这里和这里读到，如果您尝试使用自定义 JCE 安全提供程序进行加密，则必须对它进行签名。这是因为一些政府中有关密码学的一些法律。

我还阅读了这篇文章： 如何签署自定义 JCE 安全提供程序

看来建议是向 Oracle 邮寄一些有关您公司/产品的信息并发送 csr，以便他们可以颁发可用于代码签名且有效期为 5 年的证书。

我的问题是，有什么办法可以解决这个问题以进行测试吗？例如，通过更改某些策略或对 JAR 进行自签名。我们尝试对 JAR 进行自签名，但没有成功，也许我们做错了什么。

有没有人在没有获得 Oracle 证书的情况下幸运地解决了这个问题？

最后，我们将申请证书，但我读到最多可能需要 10 天才能得到回复，我们需要这个来进行测试。

Answer 1

是的，您可以做的是修补 jce.jar 内的 JarVerifier.class 文件。Jce.jar 是 JRE/JDK 的一部分（取决于您是否只安装了运行时环境或开发工具包）。这种方法虽然繁琐且复杂，但它是确保您除了 jar 验证码之外不接触任何其他代码的最佳方法。

\n\n

对于这些步骤，您需要安装 JDK 以及十六进制编辑器。

\n\n

例如，在我的 Windows 安装中，jce.jar 位于 C:\\Program Files\\Java\\jdk1.8.0_77\\jre\\lib\\jce.jar。

\n\n

一旦您\xe2\x80\x99 找到它，请在zip 文件编辑器（例如WinZip、7zip）中打开jce.jar。导航到 javax\\crypto\\ 并将 JarVerifier.class 提取到桌面或其他所需位置以进行处理。另外，请备份该文件！

\n\n

现在侦探工作来了。打开终端并 cd 到提取 JarVerifier.class 的位置。运行这个命令：javap -c JarVerifier.class

\n\n

这将向您显示类文件中代码的重构 Java 字节码版本。您\xe2\x80\x99将看到一个名为 的方法void verify() throws ... JarException ...。

\n\n

在我的 JRE 版本中，verify() 的代码如下所示：

\n\n

aload_0\ngetfield #15\nifnonnull 17\nnew #20\n

\n\n

ETC...

\n\n

verify 方法通过使用异常来告诉调用方法给定的 jar 是否未正确签名。如果没有抛出异常，则假定一切正常，并且可以使用 JCE 提供程序。我们可以利用这一点，只需将 verify() 方法的第一条指令更改为 的操作码即可 return。

\n\n

拉出此 Java 字节码指令网页作为参考：https ://en.m.wikipedia.org/wiki/Java_bytecode_instruction_listings 。我们想要找到这个指令序列在 JarVerifier.class 文件中的确切位置，因此我们需要转换打印出来的字节码javap为十六进制数字。然后，我们将在 JarVerifier.class 中搜索这串数字，以准确找到 verify() 方法所在的位置。

\n\n

所以..使用维基百科页面作为参考，它是这样的：

\n\n

\n
• aload_0：2A
\n
• 获取字段#15：B4 00 0F
\n
• 如果非空 17:C7 <2 byte branch offset>
\n
• 新#20：BB 00 14
\n

\n\n

计算分支偏移量有点繁琐，我们在搜索中不需要它。

\n\n

现在，搜索以下十六进制字节字符串：2AB4000FC7。在我的 JRE 版本中只有一个匹配项。验证BB 00 14C7 之后的 2 个字节是否也存在，只是为了确保这确实是 verify() 方法。

\n\n

最后，补丁。返回的操作码是B1. 只需将代表 aload_0 的 2A 替换为值 B1。在我的版本中，它位于偏移量 0x2938 处。现在，verify() 所做的只是返回！

\n\n

保存文件，退出，然后javap在新的 JarVerifier.class 文件上运行上述命令以查看更改的结果。您应该看到 verify() 中的第一条指令是return.

\n\n

使用上面的 zip 文件编辑器，将 jce.jar 中的 JarVerifier.class 替换为修改后的版本。如有必要，保存 jar 文件。

\n\n

那\xe2\x80\x99就是它！JCE jar 验证已被禁用。

\n