Jurisdiction Policy Files

全名叫Unlimited Strength Java(TM) Cryptography Extension (JCE) Policy Files for the Java(TM) Platform。本质是Java的policy文件(Java policy 相关请参见我的其他博文)。一般JDK内置的policy文件会对加密算法所使用的KEY的长度有所限制，一般限制在128bits(Triple-DES和RSA除外)。所以我们需要部署Unlimited Strength JCE Policy文件，来解开限制。

 

现象

我们可以用如下代码来做个小测试。

 

        KeyGenerator keyGen = KeyGenerator.getInstance("AES");
        keyGen.init(256);
        SecretKey sk = keyGen.generateKey();
        byte[] rawKey = sk.getEncoded();

        KEY = new SecretKeySpec(rawKey, "AES");

        Cipher cipher = Cipher.getInstance("AES");
        cipher.init(Cipher.ENCRYPT_MODE, KEY);

 如果执行后，一般会发现如下异常。

 

Exception in thread "main" java.security.InvalidKeyException: Illegal key size or default parameters
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.a(DashoA13*..)
at javax.crypto.Cipher.init(DashoA13*..)
at javax.crypto.Cipher.init(DashoA13*..)

 接着，请修改密钥长度至128bits。如果没有InvalidKeyException异常抛出，那么问题一般就是密钥的长度受限于默认的policy文件。

keyGen.init(128);

 

安装Unrestricted Policy Files

访问JDK下载页面，一般来说，你可以在这个页面上找到一个名为“Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files for JDK/JRE”的链接。比如对应JDK8的下载链接：单击。

下载下来的文件是zip格式，解压缩后，可以看到2个Jar包和README。请按照readme文件的内容进行安装。

 

验证Policy文件是否安装成功

执行下面的代码，没有异常抛出，即安装成功。

 

        KeyGenerator keyGen = KeyGenerator.getInstance("AES");
        keyGen.init(256);
        SecretKey sk = keyGen.generateKey();
        byte[] rawKey = sk.getEncoded();

        KEY = new SecretKeySpec(rawKey, "AES");

        Cipher cipher = Cipher.getInstance("AES");
        cipher.init(Cipher.ENCRYPT_MODE, KEY);

 

原理

解开部署的2个Jar包，2个包内都有一个policy文件，内容如下：

grant {
// There is no restriction to any algorithms.
permission javax.crypto.CryptoAllPermission;
};

 真相大白。