[Conjunto de cifrado no compatible][Java SSLSocket]

Aug 27 2020

Estoy tratando de conectar un servidor a través de SSLSocket usando el protocolo TLSv1.2. El servidor solo admite los siguientes cifrados.

  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES128-SHA256

Cuando intento configurar suites de cifrado habilitadas, me enfrento a la siguiente excepción:

java.lang.IllegalArgumentException: Unsupported ciphersuite ECDHE-ECDSA-AES128-GCM-SHA256
at sun.security.ssl.CipherSuite.valueOf(Unknown Source) ~[?:1.8.0_74]
at sun.security.ssl.CipherSuiteList.<init>(Unknown Source) ~[?:1.8.0_74]
at sun.security.ssl.SSLSocketImpl.setEnabledCipherSuites(Unknown Source) ~[?:1.8.0_74]

Intenté reemplazar los archivos de política de jurisdicción de fuerza ilimitada de Java Cryptography Extension (JCE) 8 desde la siguiente URL en C:\Program Files\Java\jdk1.8.0_92\jre\lib\security Pero aún no puedo conectar el servidor.

URL: https://www.oracle.com/java/technologies/javase-jce8-downloads.html

Estoy usando el siguiente código para crear SSLSocket:

protected void openSocket() throws IOException {
    LGR.info("Opening SSL socket to " + addr + ":" + port);
    String[] TLS_SUPPORTED_VERSIONS = new String[] { "TLSv1.2" };
    String[] CIPHER_SUITES = new String[] { "ECDHE-ECDSA-AES128-GCM-SHA256", "ECDHE-RSA-AES128-GCM-SHA256", "ECDHE-ECDSA-AES128-SHA256" };
    try {
        SSLSocket socket = (SSLSocket) SSLSocketFactory.getDefault().createSocket(addr, port);
        socket.setEnabledProtocols(TLS_SUPPORTED_VERSIONS);
        socket.setEnabledCipherSuites(CIPHER_SUITES);
        
    } catch (Exception ex) {
        LGR.error("##Exception##", ex);
    } catch (Throwable ex) {
        LGR.error("##Throwable##", ex);
    }
}

Respuestas

1 PeterWalser Aug 27 2020 at 16:20

Puede enumerar los conjuntos de cifrado admitidos mediante:

SSLSocketFactory socketFactory = SSLContext.getDefault().getSocketFactory();
for (String cipherSuite : socketFactory.getSupportedCipherSuites()) {
    System.out.println(cipherSuite);
}

La siguiente entrada coincide con la suite solicitada: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256.

Ya no necesita los archivos de política de jurisdicción de fuerza ilimitada de JCE:

  • en Java 8 u151/u152, los archivos de política se incluyeron en la distribución estándar de Java, pero era necesario habilitarlos explícitamente:Security.setProperty("crypto.policy", "unlimited");
  • desde Java 8 u161+ (y en todas las próximas versiones de Java), estos archivos de política están incluidos y la política de criptografía ilimitada está habilitada de manera predeterminada.

Puede verificarlo de la siguiente manera: Cipher.getMaxAllowedKeyLength("AES")debe regresar Integer.MAX_VALUEcuando la fuerza ilimitada está habilitada.