Java 22 вносит усовершенствования в систему безопасности

Java Development Kit (JDK) 22, выпущенный компанией Oracle 19 марта в качестве последней версии стандартного Java, предлагает ряд усовершенствований в области безопасности, начиная с интерфейса асимметричных ключей и заканчивая новой опцией безопасности -XshowSettings, которая позволяет разработчикам легко отображать настройки, связанные с безопасностью.

В блоге на веб-странице Oracle inside.java 20 марта Шон Маллан, технический руководитель группы библиотек безопасности Java и руководитель группы безопасности OpenJDK, подробно рассказал об усовершенствованиях безопасности в JDK 22.

Опция java -Xshowsettings, которую можно использовать для вывода системных настроек и другой полезной информации о текущей конфигурации JDK, была усовершенствована для отображения подробностей о настройках, связанных с безопасностью. Параметр -Xshowsettings:security покажет все настройки безопасности. Вложенные опции позволяют отобразить значения свойств безопасности, установленные провайдеры безопасности и поддерживаемые ими алгоритмы, а также включенные протоколы TLS и наборы шифров.

Для криптографии был добавлен новый стандартный интерфейс java.security.AsymmetricKey. Он является подинтерфейсом java.security.key и представляет асимметричный ключ, который может быть либо закрытым, либо открытым. Существующие классы java.security.PublicKey и java.security.PrivateKey были модернизированы, чтобы стать подинтерфейсами AsymmetricKey. По словам Муллана, по мере появления новых асимметричных алгоритмов интерфейс AsymmetricKey позволит более ранним версиям Java SE легче поддерживать новые асимметричные алгоритмы, представляющие параметры в виде NamedParameterSpec.

Кроме того, модуль jdk.crytpo.ec был устаревшим, с намерением в конечном итоге удалить его. Весь код из модуля jdk.crytp.ec был перенесен в модуль java.base, включая провайдер безопасности SunEC. Модуль jdk.crypto.ec теперь пуст, но по-прежнему существует. Это изменение облегчит развертывание приложений, зависящих от криптографических алгоритмов на основе эллиптических кривых.

Для инфраструктуры открытых ключей (PKI) в хранилище ключей cacerts было добавлено 10 новых сертификатов корневых центров сертификации, включая три сертификата корневых центров сертификации eMudhra Technologies, четыре сертификата корневых центров сертификации DigiCert и по одному сертификату от Let's Encrypt, Telia и Certigna.

Для TLS (Transport Layer Security) были добавлены дополнительные свойства для контроля максимальной длины цепочек сертификатов клиента и сервера. А для подписей XML реализация JDK теперь поддерживает подписи XML, подписанные алгоритмами подписи RSA с дайджестами SHA-3.

JDK 22 расширяет функциональность JCE (Java Cryptography Extension) для поддержки алгоритма подписи HSS/LMS, добавляя поддержку HSS/LMS в утилиты jarsigner и keytool. Кроме того, jarsigner теперь поддерживает подписание и проверку JAR-файлов с помощью алгоритма HSS/LMS, а keytool - генерацию пар открытых ключей HSS/LMS. Однако JDK поддерживает только проверку подписи HSS/LMS. Разработчикам потребуется сторонний провайдер для подписи JAR-файлов с помощью HSS/LMS.