java 0dh_Java为什么SSL联合会产生“无法生成DH密钥对”异常?

最新推荐文章于 2022-05-22 15:40:07 发布
最新推荐文章于 2022-05-22 15:40:07 发布
阅读量285 收藏
点赞数
文章标签: java 0dh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29645033/article/details/114934342
版权

当我与某些IRC服务器(而非其他IRC服务器)建立SSL连接时(大概是由于服务器的首选加密方法),出现以下异常:

Caused by: java.lang.RuntimeException: Could not generate DH keypair

at com.sun.net.ssl.internal.ssl.DHCrypt.(DHCrypt.java:106)

at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverKeyExchange(ClientHandshaker.java:556)

at com.sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:183)

at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Handshaker.java:593)

at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Handshaker.java:529)

at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:893)

at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1138)

at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1165)

... 3 more

最终原因:

Caused by: java.security.InvalidAlgorithmParameterException: Prime size must be multiple of 64, and can only range from 512 to 1024 (inclusive)

at com.sun.crypto.provider.DHKeyPairGenerator.initialize(DashoA13*..)

at java.security.KeyPairGenerator$Delegate.initialize(KeyPairGenerator.java:627)

at com.sun.net.ssl.internal.ssl.DHCrypt.(DHCrypt.java:100)

... 10 more

演示此问题的服务器示例是perfection.esper.net:6697(这是一个IRC服务器)。未显示问题的服务器的示例是kornbluth.freenode.net:6697。[不足为奇的是,每个网络上的所有服务器都共享相同的行为。]

我的代码(如所述,在连接到某些SSL服务器时有效)是:

SSLContext sslContext = SSLContext.getInstance("SSL");

sslContext.init(null, trustAllCerts, new SecureRandom());

s = (SSLSocket)sslContext.getSocketFactory().createSocket();

s.connect(new InetSocketAddress(host, port), timeout);

s.setSoTimeout(0);

((SSLSocket)s).startHandshake();

是最后一个startHandshake引发异常。是的,’trustAllCerts’正在进行一些魔术。该代码会强制SSL系统不验证证书。(所以…这不是证书问题。)

显然,一种可能性是esper的服务器配置错误,但是我进行了搜索,但没有找到其他任何提及esper的SSL端口有问题的人,并且’openssl’连接到它(请参见下文)。所以我想知道这是否是Java默认SSL支持的限制或其他原因。有什么建议么?

~ $ openssl s_client -connect aperture.esper.net:6697

CONNECTED(00000003)

depth=0 /C=GB/ST=England/L=London/O=EsperNet/OU=aperture.esper.net/CN=*.esper.net/emailAddress=support@esper.net

verify error:num=18:self signed certificate

verify return:1

depth=0 /C=GB/ST=England/L=London/O=EsperNet/OU=aperture.esper.net/CN=*.esper.net/emailAddress=support@esper.net

verify return:1

---

Certificate chain

0 s:/C=GB/ST=England/L=London/O=EsperNet/OU=aperture.esper.net/CN=*.esper.net/emailAddress=support@esper.net

i:/C=GB/ST=England/L=London/O=EsperNet/OU=aperture.esper.net/CN=*.esper.net/emailAddress=support@esper.net

---

Server certificate

-----BEGIN CERTIFICATE-----

[There was a certificate here, but I deleted it to save space]

-----END CERTIFICATE-----

subject=/C=GB/ST=England/L=London/O=EsperNet/OU=aperture.esper.net/CN=*.esper.net/emailAddress=support@esper.net

issuer=/C=GB/ST=England/L=London/O=EsperNet/OU=aperture.esper.net/CN=*.esper.net/emailAddress=support@esper.net

---

No client certificate CA names sent

---

SSL handshake has read 2178 bytes and written 468 bytes

---

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA

Server public key is 2048 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

SSL-Session:

Protocol : TLSv1

Cipher : DHE-RSA-AES256-SHA

Session-ID: 51F1D40A1B044700365D3BD1C61ABC745FB0C347A334E1410946DCB5EFE37AFD

Session-ID-ctx:

Master-Key: DF8194F6A60B073E049C87284856B5561476315145B55E35811028C4D97F77696F676DB019BB6E271E9965F289A99083

Key-Arg : None

Start Time: 1311801833

Timeout : 300 (sec)

Verify return code: 18 (self signed certificate)

---

如前所述,毕竟,它确实可以成功连接,这远远超过了我的Java应用程序所能说的。

如果相关,我正在使用OS X 10.6.8,Java版本1.6.0_26。

ddde小迷妹
关注
密钥交换算法(常用)
thinker
11-28 6421
密钥交换的握手过程中最引人入胜的部分。在TLS中,会话安全性取决于称为主密钥(masteer secret)的48字节共享密钥密钥交换的目的是计算另一个值,即预主密钥(premaster secret)。这个值是组成主密钥的来源。 TLS支持许多密钥交换算法,能够支持各种证书类型、公钥算法和密钥生成协议。它们之中有一些在TLS协议主规格书中定义,但更多的则是在其他规格说明中定义。 常用的密钥交换算法 dh_anon Diffie-Hellman(DH密钥交换,未经身...
Web技术(三):TLS 1.2/1.3 加密原理(AES-GCM + ECDHE-ECDSA/RSA)
热门推荐
流云
05-14 2万+
一、TLS 加密原理 TLS (Transport Layer Security)通过对称密钥加密法来保证通信的机密性,通过消息认证码MAC来保证通信的完整性和真实性,对称加密与MAC共同构成了认证加密方案同时保证通信的机密性、完整性和真实性。 认证加密的共享密钥交换是个难题,Diffie和Hellman两人发明了一套密钥协商方案(Diffie–Hellman key exchange)解决了该问题,为确认通信对端的真实性又产生了数字签名算法,为解决数字签名中无法确认公钥真实性的问题,又提出了证书的概念。
javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair 解决方法总结
08-25
主要介绍了javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair 解决方法,有需要的朋友们可以学习下。
java.security.NoSuchAlgorithmException: DH KeyPairGenerator not available 异常处理
chenxiaohong的专栏
07-18 2193
在Linux搭建SFTP文件上传时,在本机测试可以,但在服务器上愣是出现错误: java.security.NoSuchAlgorithmException: DH KeyPairGenerator not available 查找了些资料,发现是由于JRE缺少包导致,添加以下包后解决: sunjce_provider.jar 位于本地JRE目录jre/lib/ext/下...
记录一次生产sftp报错DH KeyPairGenerator not available
yuyajun06的博客
03-09 1345
生产切换,重新配置的Linux系统,项目起来后,发现连接sftp报错,DH KeyPairGenerator not available,查询百度说是少jre/lib/ext目录下的sunjce_provider.jar,查看了Linux下的安装的jdk目录下,此jar包是存在的,查看了一下ps aux|grep 项目名,发现-Djava.ext.dirs=./../lib:/jre/lib/ext,缺少了JAVA_HOME的地址,于是猜测应该是配置文件里的jdk的JAVA_HOME的路径不对,查看...
RestTemplate请求https异常 DH ServerKeyExchange does not comply to algorithm constraints
寂寥之秋
05-22 2001
DH ServerKeyExchange does not comply to algorithm constraints
java 0dh_连接不上SFTP报java.security.NoSuchAlgorithmException: Algorithm DH not available错误
weixin_29819789的博客
03-01 808
今天在在本地连接linux虚拟机测试代码时,遇到了java.security.NoSuchAlgorithmException: Algorithm DH not available的错误。原因:DH算法无效。网上的解决办法为:1. 修改java.security文件(我自己觉得不推荐,因为机器不是你的呢?)JDK路径\jre\lib\security\java.securitysecurity...
HTTPS详细解析
苏南生的CSDN博客
11-20 1万+
1、 什么是HTTPS?HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)安全超文本传输协议,可以理解为HTTP+SSL/TLS,简单来说它是HTTP的安全版。HTTP 协议定义了一套规范,让客户端或浏览器可以和服务器正常通信,完成数据传输,但是HTTP协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险。TLS(Tra
0086 shopee面试题汇总
gendlee1991的专栏
04-25 1万+
1、大数据方向 leetcode hard 寻找两个有序数组的中位数 ##了解MVCC吗 MVCC:多版本并发控制。 特点 1.MVCC其实广泛应用于数据库技术,像Oracle,PostgreSQL等也引入了该技术,即适用范围广 2.MVCC并没有简单的使用数据库的行锁,而是使用了行级锁,row_level_lock,而非InnoDB中的innodb_row_lock. 基本原理:MVCC的实现...
无监督域自适应:基于正则化对齐的编码器设置为狗
设置为狗基于正则化条件对齐的Safa Cicek,StefanoSoatto UCLA视觉实验室加州大学洛杉矶分校,CA 90095{safacicek,soatto}@ ucla.edu摘要我们提出了一种用于无监督域自适应的方法,该方法训练共享嵌入来对齐输入...
Could not generate DH keypair 解决方案
05-07
Could not generate DH keypair 解决方案。内含四个jar包使用方法查看博客即可
java 0dh_Java SSL DH密钥生成Prime大小错误
weixin_34122532的博客
03-01 167
首先,“无限的力量”在这里无关紧要.这将解决完全不同的问题,即你不能使用AES-256使用密码套件(并且如果对等方坚持它们根本不能握手). JVM的比特也无关紧要;这个(不是很合理)对DH的限制是在SunJCE的“无处不在”字节码中.您可以使用BouncyCastle作为加密提供程序,而无需更改执行SSL连接的代码(在您的案例中为Scribe),但是从我读过的内容中,BC首选提供程序会导致其他问题...
node-http2-openssl 验证服务器证书过程
weixin_34192732的博客
04-21 333
nodehttp2的example内有http/2服务器(server.js)和客户端(client.js)的的代码案例。其中的server.js 提供了一个简单的http/2服务器代码模板。 http/2的一个特点,就是流量走向了TLS,也就是走了加密信道。http 1.x都是明文的,文本化的,机器可读人也可读,调试和差错都比较容易,...
手工测试SSL/TLS的脆弱性
编程岁月
03-01 2378
该文章描绘了主要的SSL/TLS (mis)配置及简单的测试你系统的脆弱性。如下为已考虑到的配置和攻击相关的内容。 SSLv2 Support SSLv3 Support Cipher Suites SSL Certificates Renegotiation Compression Implementation Issues 在二十年以前发布了SSLv2并且就在发布不久后,被发现其存在严重的缺陷,它允许攻击者解密并修改通信流量。在一年之后被替代为SSLv3(已发现这些问题),但是短寿命的S
java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
一介白衣入江南
11-29 2858
javax.net.ssl.SSLException: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty at sun.security.ssl.Alerts.getSSLException(Alerts.java:208) at sun.security.ssl.SSLSo
invalidalgorithmParamterExParameterException: Prime size must be multiple of 64 , and can only range
sinat_27818621的博客
12-22 1925
在jdk1.7环境下发送https报错 invalidalgorithmParamterExParameterException: Prime size must be multiple of 64 , and can only range from 512 to 1024 解决方案: 在jdk中完全禁用DHE,编辑jre / lib / security / java.security并确保禁用了DHE,例如 jdk.tls.disabledAlgorithms=SSLv3, DHE 具体..
Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must
a2321123的博客
03-25 6010
今天在学习springcloud时,学习到gateway访问外网,出现错误,报错内容为 [13c3884d] There was an unexpected error (type=Internal Server Error, status=500). Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty java.lang.Run
【SAE】Java环境访问https报java.security.InvalidAlgorithmParameterException
weixin_34268310的博客
12-05 1231
访问地址: https://api.weibo.com/2/users/show.json 错误信息: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty on Linux, or why is the de...
Java实现DH密钥交换协议:确保安全通信
Java实现DH密钥交换,通常包括生成密钥对、公钥交换、密钥协商等步骤,并可能利用一些库(如Bouncy Castle等)提供的函数简化操作。这个过程在许多现代通信协议中扮演着关键角色,如SSL/TLS和SSH,确保了数据传输的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值