LINUX.ORG.RU

java и длинные ssl ключи

 ,


1

1

я хочу https, но получаю «Prime size must be multiple of 64, and can only range from 512 to 1024 (inclusive)».

и понятно что «policy», но куда именно я должен их сунуть, если все дело происходит в oracle 11.2, в хранимке?

Ответ на: комментарий от Deleted

у меня есть хранимка на яве, которая идет по https в сервис. и не может, выдает такой вот эксепшн.

Rastafarra ★★★★
() автор топика

«Prime size must be multiple of 64, and can only range from 512 to 1024 (inclusive)».

ну так сделай его нужного размера. Или у сервера такой размер?

Harald ★★★★★
()
Ответ на: комментарий от Deleted

оркаел юзает свой ждк, не?

вот в этом и вся проблема :)

Rastafarra ★★★★
() автор топика
Ответ на: комментарий от Harald

ну так сделай его нужного размера.

ну идем, расскажи мне как именно.

в этом треде остро не хватает либо кода, либо линков, ты заметил? :)

Или у сервера такой размер?

имхо очевидно что я клиент

Rastafarra ★★★★
() автор топика
Последнее исправление: Rastafarra (всего исправлений: 1)
Ответ на: комментарий от FeyFre

хорошая попытка, но...

поменять криптопровайдера тоже пробовал, эта скотина рушится где-то внутри GET-a c null pointer, ну вот никакого желания бодаться с криптотой нет, я сольюсь однозначно.

а то что они суют политики --- ну так все это делают и даже я на локалхосте. проблема в том что оракловый JVM --- это спец.жвм, у него какие-то свои представления об этом мире и они чета слабо документированы :(

Rastafarra ★★★★
() автор топика
Последнее исправление: Rastafarra (всего исправлений: 2)
Ответ на: комментарий от Harald

а, ты читаешь что лор --- это такой гугл для слабаков..?

ну... у меня к нему пока другое отношение, я пока сохраняю веру в то, что тут трется разнокалиберный контингент :)

Rastafarra ★★★★
() автор топика
Ответ на: комментарий от Rastafarra

из текста ошибки не понятно, о каком криптопротоколе и каком именно ключе идёт речь

если ты приложишь кусок сетевого дампа или скриншот из Wireshark-а, будет понятнее

подозреваю, что ругается на параметр Диффи-Хэллмана, можно попробовать принудительно выбрать другой набор криптоалгоритмов, без DHE, что-нибудь вроде RSA-AES256, но тогда при компрометации ключа можно будет расшифровать весь твой трафик, записанный ранее

Harald ★★★★★
()
Ответ на: комментарий от Harald

что ругается на параметр Диффи-Хэллмана

да, ломается на хендшейке

можно попробовать принудительно выбрать другой набор криптоалгоритмов, без DHE, что-нибудь вроде RSA-AES256

хм... это например как?

можно будет расшифровать весь твой трафик, записанный ранее

да и хрен с ним, во всяком случае пока.

Rastafarra ★★★★
() автор топика
Ответ на: комментарий от Rastafarra

хм... это например как?

я понятия не имею, как это может делаться в этих ваших жабах и ораклах, но в теории желаемый набор алгоритмов для соединения должен настраиваться

Harald ★★★★★
()
Ответ на: комментарий от Rastafarra

Повангую, что у тебя не включена сильная криптография, емнип, её всё еще запрещено экспортировать из США. Ищи на сайте оракла, где скачать джарники и как подсунуть джаве.

hippi90 ★★★★★
()

Никак.

Либо настукай тем кто перешел на новый TLS который с ключем 2048.

Тут либо воротить кастомный SSL socket, либо поднять какой нибудь nginx прямо на машине с ораклом, и юзать его как проксю, по http, а он уже пусть ходит по ssl.

Почему никак? потому что длинные ключи jdk поддерживает либо с какого то позднего апдейта к jdk7, либо с JDK8. А если верить вот этим товарищам, http://stackoverflow.com/a/28164416, то даже 12й оракл такого не предоставляет

anonymous
()
Ответ на: комментарий от anonymous

здец вообще, как этой жабой можно пользоваться вообще

Harald ★★★★★
()
Ответ на: комментарий от hippi90

скачать джарники и как подсунуть джаве.

ну ништяк, допустим я их слил, дальше? $ORACLE_HOME/и/вот/тут/полный/путь/бэ

Rastafarra ★★★★
() автор топика
Ответ на: комментарий от Rastafarra

По идее должны тут лежать $JAVA_HOME/jre/lib/security

hippi90 ★★★★★
()

подключи скою libopenssl (через бинарные биндинги) и накотый мост,за пять минут пишется это все

все так делают,на джаве да

anonymous
()
Ответ на: комментарий от anonymous

бинарный биндинг на весь недостающий функционал решает проблему на 10000000000000000%

я сам так делал для аутентефикации и поднятия сессии передачи данных на 6 джаве да

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.