使用Oracle Java 8 JRE打开JCEKS密钥库时出现“java.io.IOException:无效的密钥格式”172
问题描述 投票:3回答:3
当我尝试在Windows上使用Oracle Java 8 JRE 172打开JCEKS类型密钥存储区时,我收到以下异常。这与早期版本的JRE一起工作正常:
INFO: ObjectInputFilter REJECTED: null, array length: -1, nRefs: 1, depth: 1, bytes: 70, ex: n/a
[...call stacks omitted to protect the innocent...]
Caused by: java.io.IOException: Invalid secret key format
at com.sun.crypto.provider.JceKeyStore.engineLoad(JceKeyStore.java:856)
at java.security.KeyStore.load(Unknown Source)
[...]
这看起来非常像JDK-8202506,但我使用Java 8,我在初始INFO消息中得到null。
这是同一个问题吗?
在我看来,JDK-8202506问题目前在任何公开的JRE版本中都没有修复。我对吗?
更新1
这看起来很相似,他们也没有解决方案:ATLAS-2642
更新2
出于某种原因,Equinox在升级后未能看到com.sun.crypto.provider.SealedObjectForKeyProtector类,即使它显然位于新JDK附带的JRE中:
BundleClassLoader[foo.bar.baz.crypto].loadClass(com.sun.crypto.provider.SealedObjectForKeyProtector) failed.
java.lang.ClassNotFoundException: com.sun.crypto.provider.SealedObjectForKeyProtector
at org.eclipse.osgi.framework.internal.core.BundleLoader.findClassInternal(BundleLoader.java:481)
at org.eclipse.osgi.framework.internal.core.BundleLoader.findClass(BundleLoader.java:397)
at org.eclipse.osgi.framework.internal.core.BundleLoader.findClass(BundleLoader.java:385)
at org.eclipse.osgi.internal.baseadaptor.DefaultClassLoader.loadClass(DefaultClassLoader.java:87)
at java.lang.ClassLoader.loadClass(ClassLoader.java:357)
at java.lang.Class.forName0(Native Method)
at java.lang.Class.forName(Class.java:348)
at java.io.ObjectInputStream.resolveClass(ObjectInputStream.java:686)
at java.io.ObjectInputStream.readNonProxyDesc(ObjectInputStream.java:1866)
at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:1749)
at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:2040)
at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1571)
at java.io.ObjectInputStream.readObject(ObjectInputStream.java:431)
at com.sun.crypto.provider.JceKeyStore.engineLoad(JceKeyStore.java:850)
at java.security.KeyStore.load(KeyStore.java:1445)
更新3
类SealedObjectForKeyProtector.class与sunjce_provider.jar中的其他类不同。当我们尝试使用JD-GUI对其进行反编译时,与其他类不同,它会因内部错误而失败:
3个回答
投票
这几天我遇到了这个问题。根据我的故障排除,它是由此方法的不同返回值引起的:
sun.misc.VM.latestUserDefinedLoader()
以前(在8u171之前),此方法返回sun.misc.Launcher$ExtClassLoader,而它在升级后返回应用程序的类加载器。在ObjectInputStream中,两个类加载器都可以成功加载com.sun.crypto.provider.SealedObjectForKeyProtector,这只是因为ExtClassLoader是应用程序的类加载器(或父类的父类)的父类。但是,一旦应用程序的类加载器加载了SealedObjectForKeyProtector,它的类加载器就不再等于ExtClassLoader。
另一方面,在com.sun.crypto.provider.JceKeyStore中,与ObjectInputStream不同,SealedObjectForKeyProtector总是由ExtClassLoader加载。因此,下面检查JceKeyStore.java:932将失败,因为类不相等:
932 if (info.serialClass() != SealedObjectForKeyProtector.class))
934 return Status.REJECTED;
然后,我们最终会得到以下日志和IOException:ObjectInputFilter REJECTED:class com.sun.crypto.provider.SealedObjectForKeyProtector
解决方案:确保ContextClassLoader没有通过某些配置加载类com.sun.crypto.provider.SealedObjectForKeyProtector。细节取决于ContextClassLoader。例如,对于org.powermock.core.classloader.MockClassLoader,具体的解决方案是在下面的注释中添加相关的测试类:
@PowerMockIgnore("com.sun.*")
投票
我目前正在使用Oracle JRE支持,并打开了一个私有错误。到目前为止我得到的信息:
- 它与JDK-8202506不同。
- 是的,这是使用Equinox的SealedObjectForKeyProtector上的类加载问题。
解决方案:
解决方法是将以下行添加到OSGi包MANIFEST.MF中。
Eclipse-BuddyPolicy:分机
我亲自用JRE 1.8_181验证了这种解决方法,看起来很有效。
我还被告知,对于Java 9,JVM参数-Dosgi.compatibility.bootdelegation = true可以完成工作(无需更新MANIFEST.MF),但我没有Java 9环境来验证它。感谢是否有人可以尝试并让我们知道结果。
投票
我已经完成了对该问题的完整分析,并通过JCEKS密钥库中涉及的代码部分进行了调试。每当应用程序使用自定义类加载器时,如果使用旧版Java版本的JCEKS密钥库而不是JDK 8 Update 151,您将面临问题。
private static class DeserializationChecker implements ObjectInputFilter {
private static final int MAX_NESTED_DEPTH = 2;
@Override
public ObjectInputFilter.Status
checkInput(ObjectInputFilter.FilterInfo info) {
// First run a custom filter
long nestedDepth = info.depth();
if ((nestedDepth == 1 &&
info.serialClass() != SealedObjectForKeyProtector.class) ||
(nestedDepth > MAX_NESTED_DEPTH &&
info.serialClass() != null &&
info.serialClass() != Object.class)) {
return Status.REJECTED;
}
// Next run the default filter, if available
ObjectInputFilter defaultFilter =
ObjectInputFilter.Config.getSerialFilter();
if (defaultFilter != null) {
return defaultFilter.checkInput(info);
}
return Status.UNDECIDED;
}
}
在上面的JceKeyStore.class代码中,过滤器信息将始终为null,因此info.serialClass()!= SealedObjectForKeyProtector.class检查将失败。在像Equinox-Eclipse插件这样的自定义类加载器的情况下,类加载委托不会像预期的那样发生。
有两步解决方案
- 首先将密钥库从JCEKS升级到PKCS12,如JDK 151 https://www.oracle.com/technetwork/java/javase/8u151-relnotes-3850493.html中提到的Notes:Better keystore handling主题。对于大多数情况,这将解决问题。更改后,进一步访问密钥库类型值PKCS12的密钥库。
- 甚至在自定义类加载器范围之前,就可以更早地加载sun_jce提供程序中的类。使用这些配置使您的自定义类加载器将sun_jce jar的类加载委托给ExtClassLoader。例如:在eclipse插件项目的META-INF中使用Eclipse-BuddyPolicy:ext。
最新问题
- Spring Cloud Hystrix 无法在服务器端工作
- 如何在next.js应用程序中显示来自API的消息?
- 正则表达式最多匹配 9 个数字。字符后跟“ml”和这 9 个数字。字符不在 1900-2199 之间,但不是后跟 2 个数字的引用字符。数字
- 在 SwiftUI 中的任何视图之上呈现自定义视图
- 根据条件将一个 df 中的 NA 替换为另一个 df 中的值
- 为什么我的 Node.js 服务器针对有效路由返回 404 错误? [重复]
- SQL 性能 - OR 语句的替代方案
- sql server 表上的独占用户所有权
- 如何将对象的 JSON 数组的列更改为 SQL Server 中的对象
- 优化存储过程查询
- 如何在AR.js中在指定位置显示3D物体
- 如何在 SQL 中将 min() 与其他列一起使用
- 只有 sysadmin 固定服务器角色的成员才能执行此操作。 Azure SQL Server 数据库与 SQL Server 数据库
- Laravel API 和 React 前端:在 404 中提交帖子结果后重定向到个人资料 |未找到
- FIDO2 验证器模拟器
- Laravel API 请求验证响应 application/x-www-form-urlencoded 数据
- 可以在Java控制台中创建文本框吗?
- 本项目的区域‘us-central1’中不存在Cloud Run服务‘app’
- Scons:如何强制重建?
- 在 ObservableCollection 中绑定 ObservableCollection