即使在 $JAVA_HOME/lib/security/java.security 中禁用它后,MD5 算法仍然在 java 中工作
MD5 algorithm working in java even after disabling it in $JAVA_HOME/lib/security/java.security
我已禁用 MD5 算法,在 $JAVA_HOME/lib/security/java.security 文件中添加以下内容。但我仍然能够 运行 使用 MD5 算法的代码。
jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & usage TLSServer
jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024
jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024
但我仍然可以运行以下使用 MD5 的代码
import java.math.BigInteger;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
public class MD5 {
public static String getMd5(String input)
{
try {
// Static getInstance method is called with hashing MD5
MessageDigest md = MessageDigest.getInstance("MD5");
// digest() method is called to calculate message digest
// of an input digest() return array of byte
byte[] messageDigest = md.digest(input.getBytes());
// Convert byte array into signum representation
BigInteger no = new BigInteger(1, messageDigest);
// Convert message digest into hex value
String hashtext = no.toString(16);
while (hashtext.length() < 32) {
hashtext = "0" + hashtext;
}
return hashtext;
}
// For specifying wrong message digest algorithms
catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
// Driver code
public static void main(String args[]) throws NoSuchAlgorithmException
{
String s = "TESTFORMD%";
System.out.println("Your HashCode Generated by MD5 is: " + getMd5(s));
}
}
$JAVA_HOME/lib/security/java.security 中配置的安全策略会影响 JVM 处理安全相关功能的方式;它与您明确(尝试)在代码中使用的算法无关。
例如:
jdk.jar.disabledAlgorithms 禁用用于验证签名 jar 文件的算法jdk.certpath.disabledAlgorithms 禁用用于证书的算法(也影响密钥长度)jdk.tls.disabledAlgorithms 禁用用于 TLS 密码协商的算法
因此,当您在安全配置中禁用 MD5 时,实际上是在告诉 JVM 不要 use/trust MD5 用于 jar 签名、证书和 TLS 协商。实际的 MD5 实现仍在 MessageDigest.getInstance("MD5").
中供您使用
我已禁用 MD5 算法,在 $JAVA_HOME/lib/security/java.security 文件中添加以下内容。但我仍然能够 运行 使用 MD5 算法的代码。
jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & usage TLSServer
jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024
jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024
但我仍然可以运行以下使用 MD5 的代码
import java.math.BigInteger;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
public class MD5 {
public static String getMd5(String input)
{
try {
// Static getInstance method is called with hashing MD5
MessageDigest md = MessageDigest.getInstance("MD5");
// digest() method is called to calculate message digest
// of an input digest() return array of byte
byte[] messageDigest = md.digest(input.getBytes());
// Convert byte array into signum representation
BigInteger no = new BigInteger(1, messageDigest);
// Convert message digest into hex value
String hashtext = no.toString(16);
while (hashtext.length() < 32) {
hashtext = "0" + hashtext;
}
return hashtext;
}
// For specifying wrong message digest algorithms
catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
// Driver code
public static void main(String args[]) throws NoSuchAlgorithmException
{
String s = "TESTFORMD%";
System.out.println("Your HashCode Generated by MD5 is: " + getMd5(s));
}
}
$JAVA_HOME/lib/security/java.security 中配置的安全策略会影响 JVM 处理安全相关功能的方式;它与您明确(尝试)在代码中使用的算法无关。
例如:
jdk.jar.disabledAlgorithms禁用用于验证签名 jar 文件的算法jdk.certpath.disabledAlgorithms禁用用于证书的算法(也影响密钥长度)jdk.tls.disabledAlgorithms禁用用于 TLS 密码协商的算法
因此,当您在安全配置中禁用 MD5 时,实际上是在告诉 JVM 不要 use/trust MD5 用于 jar 签名、证书和 TLS 协商。实际的 MD5 实现仍在 MessageDigest.getInstance("MD5").