Cryptographie

Besoin

Définir un ensemble des techniques permettant de fournir :

Implémentation

Java offre des API cryptographiques mettant en œuvre :

Version 1 Commentaire
Domaine Paradigme Release 1 2
Permission Par nature (fonction de la provenance du code)
Cryptographie JCA Signatures et condensés de messages uniquement. Oui
JCE 1.1
Signature Stockage Base de la sandbox Indissociable du code
Implémentations JDK Pluggable API cryptographiques standardisées et donc pluggables et interopérables
Identité Classe java. security. Identity Interface java. security. Principal

Afin de permettre à tout éditeur de fournir une implémentationd'un ou de plusieurs concepts de sécurité introduits dans Java2, tout classe de sécurité générique (engineclass) est implémentée sous forme de fabrique (factory)retournant les implémentations paramétrées dans la plate-forme (on retrouve là le modèle de SPI)

Tout fournisseur est effectivement susceptible de ne pas implémenterun protocole demandé par une application (il pourra fournir une implémentation de signature RSA/MD2 mais pas de RSA/MD5 par exemple). Il est donc possibled'installer dans la plate-forme plusieurs implémentations des classes de sécurité, avec un ordre de préférence. Pour un algorithme donné, la première implémentation trouvée dans cette liste de préférence sera utilisée. Il est également possible pour une application de spécifier son fournisseur de prédilectionpar programmation.

Les concepts implémentables par un fournisseur sont :

Base de clés

L'implémentation par défaut de la base de clés est la base "JKS" de Sun. Cette implémentationeffectue la persistance de l'objet java.security.KeyStore dansun fichier au format propriétaire.

Sun fournit de plus dans le JDK 1.2 l'outil keytool, qui permetun accès utilisateur (bien qu'en ligne de commande) à un objetKeyStore stocké dans un tel fichier.

Si l'on utilise la base de clé JKS de Sun, le fichier chargépar défaut par la plate-forme (et par keytool) est par ordre de préférence :

  1. le fichier .keystore trouvé dans le répertoire HOME de l'utilisateur courant (d:\WINNT\Profiles\Administrateur par exemple, mais c'est à l'utilisateur de le créer)
  2. le fichier spécifié par :
    1. l'entrée keystore du fichier %JAVA_HOME%/lib/security/java.policy
    2. l'entrée keystore du fichier %HOME%/.java.policy

Il est cependant possible d'utiliser une autre implémentation de KeyStore installée, soit :

  • en modifiant les entrées correspondantes dans le fichier java.security (keystore.type définit le KeyStore JKS comme KeyStore par défaut)
  • soit par programmation via la fabrique de base de clé (KeyStore myKeyStore = KeyStore.getInstance (keystoreType, keystoreProvider)).

Limitations

Notes

RIPEMD-160

Acronyme pour RIPE Message Digest, algorithme de hâchage permettant de générer des condensés de messages.

RIPEMD-160 ou SHA sont considérés comme plus sûr que MD5, dans la mesure ou MD5 a été cassé (pour des messages courts cependant). RSA elle-même ne recommande plus l'utilisation de MD5.

RNG

Acronyme pour Random Number Generation, algorithme sécurisé de génération de nombres aléatoires (non périodiques), utilisés pour la génération de clés.

Java 2 ne fournit qu'une implémentation de nombres pseudo-aléatoires (PRNG).

PRNG

Acronyme pour Pseudo Random Number Generation, algorithme sécurisé de génération de nombres pseudo-aléatoires (pérodiques), utilisé pour la génération de clés.

Java 2 inclut une implémentation de PRNG, via le générateur java.security.SecureRandom.

SET

Acronyme pour Secure Electronic Transactions.

Protocole de commerce électronique situé au-dessus de SSL, permettant les authentifications des clients porteurs de cartes de crédit, des commerçants et des fournisseurs, l'intégrité et la confidentialité des informations de paiement (du client vers le commerçant) et de commande (du commerçant vers le fournisseur).

Comme SSL, SET exploite les certificats X509.

TIPEM

Acronyme pour Toolkit for Interoperable Privacy Ehanced Mail, librarie de RSA permettant de développer des produits intégrant S/MIME dans les applications de courrier électronique.

Voir