デフォルトでは、アプリケーションは、どの強度の暗号化アルゴリズムでも使用できます。ただし、一部の場所での輸入規制のため、それらのアルゴリズムの強度を制限する必要がある場合があります。JDKでは、ディレクトリ<java-home>/conf/security/policyに、暗号化アルゴリズムの強度を決定する管轄ポリシー・ファイルのセットが2つ用意されています。管轄ポリシー・ファイル、およびそれらのアクティブ化の方法については、暗号化強度の構成を参照してください。

自分の場所のための正確な要件を決定する際は、輸出入管理コンサルタントまたは弁護士に相談してください。

制限付きの構成のために、次の表では、制限付きの一連の管轄ポリシー・ファイルで許可されている最大キー・サイズをリストします。

^脚注1 SunPKCS11プロバイダはすべてのプラットフォームで利用可能ですが、これがデフォルトで有効になっているのは、ネイティブのPKCS11実装が自動的にインストールおよび構成される唯一のOSであるSolarisのみです。他のプラットフォームでは、アプリケーションまたはデプロイヤが特にネイティブPKCS11ライブラリをインストールして構成し、それを使用できるようにSunPKCS11を構成して有効にする必要があります。

^脚注2 SolarisのPKCS11 SecureRandom実装は、小さいサイズの要求のパフォーマンス・オーバーヘッドが原因で、無効になっています(JDK-8098581: SecureRandom.nextBytes() hurts performance with small size requestsを参照)。再度有効にするには、sunpkcs11-solaris.cfgを編集します。

^脚注3 Solaris、LinuxおよびOS Xでは、java.securityのエントロピ収集デバイスをfile:/dev/urandomまたはfile:/dev/randomに設定すると、SHA1PRNGよりNativePRNGが優先されます。それ以外の場合は、SHA1PRNGが優先されます。

^脚注4 Windowsには現在NativePRNGはありません。同等の機能を利用するには、SunMSCAPIプロバイダを使用します。

暗号化トークン・インタフェース標準(PKCS#11)は、ハードウェア暗号化アクセラレータやスマート・カードなどの暗号化メカニズムに対するネイティブ・プログラミング・インタフェースを提供しています。SunPKCS11プロバイダを適切に構成すると、アプリケーションは標準のJCA/JCE APIを使用してネイティブPKCS#11ライブラリにアクセスできるようになります。SunPKCS11プロバイダ自体には暗号化機能は含まれていません。このプロバイダは、Java環境とネイティブPKCS11プロバイダ間のコンジットとして機能します。このプロバイダの詳細は、「PKCS#11リファレンス・ガイド」を参照してください。

アルゴリズム

SUNプロバイダでは、次のアルゴリズムを使用できます。

^脚注5 PKCS12 KeyStore実装は、KeyBagタイプをサポートしていません。

SHAメッセージ・ダイジェストとDSA署名に関連付けられたOID

次の表に、SHAメッセージ・ダイジェストに関連付けられたOIDを示します。

次の表に、DSA署名に関連付けられたOIDを示します。

キー・サイズの制限

SUNプロバイダでは、次のデフォルト・キーサイズ(ビット単位)を使用し、次の制限を強制します。

CertificateFactory/CertPathBuilder/CertPathValidator/CertStore実装

CertificateFactory、CertPathBuilder、CertPathValidatorおよびCertStoreのSUNプロバイダ実装の詳細は、「Java PKIプログラマーズ・ガイド」の「付録B: SUNプロバイダでのCertPath実装」を参照してください。

アルゴリズム

SunRsaSignプロバイダでは、次のアルゴリズムを使用できます。

キー・サイズの制限

SunRsaSignプロバイダでは、次のデフォルト・キーサイズ(ビット単位)を使用し、次の制限を強制します。

アルゴリズム

SunJSSEプロバイダでは、次のアルゴリズムを使用できます。

SunJSSEプロバイダのプロトコルのパラメータ

SunJSSEプロバイダは、表4-12に示すprotocolパラメータをサポートしています。

^脚注6 TLS 1.0および1.1は、安全とはみなされなくなったTLSプロトコルのバージョンであり、より安全で最新のバージョン(TLS 1.2および1.3)に置き換えられました。これらのバージョンは、デフォルトで無効になっています。問題が発生した場合は、自己責任になりますが、java.security構成ファイルのjdk.tls.disabledAlgorithmsセキュリティ・プロパティからTLSv1またはTLSv1.1を削除すると、これらのバージョンを再度有効化できます。

SunJSSE暗号化方式群

次に、このJDKリリースで現在実装されているSunJSSE暗号化方式群を優先度順に示します。これらの暗号化方式群の一部はデフォルトで使用可能になっていません。各暗号化方式群でサポートされているプロトコルを確認するには、『Javaセキュリティ標準アルゴリズム名』の「JSSE暗号化方式群名」を参照してください。

• TLS_AES_128_GCM_SHA256
• TLS_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
• TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
• SSL_RSA_WITH_3DES_EDE_CBC_SHA
• TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
• TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
• SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
• SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
• TLS_EMPTY_RENEGOTIATION_INFO_SCSV
• TLS_DH_anon_WITH_AES_256_GCM_SHA384
• TLS_DH_anon_WITH_AES_128_GCM_SHA256
• TLS_DH_anon_WITH_AES_256_CBC_SHA256
• TLS_ECDH_anon_WITH_AES_256_CBC_SHA
• TLS_DH_anon_WITH_AES_256_CBC_SHA
• TLS_DH_anon_WITH_AES_128_CBC_SHA256
• TLS_ECDH_anon_WITH_AES_128_CBC_SHA
• TLS_DH_anon_WITH_AES_128_CBC_SHA
• TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
• SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
• TLS_ECDHE_RSA_WITH_RC4_128_SHA
• SSL_RSA_WITH_RC4_128_SHA
• TLS_ECDH_ECDSA_WITH_RC4_128_SHA
• TLS_ECDH_RSA_WITH_RC4_128_SHA
• SSL_RSA_WITH_RC4_128_MD5
• TLS_ECDH_anon_WITH_RC4_128_SHA
• SSL_DH_anon_WITH_RC4_128_MD5
• SSL_RSA_WITH_DES_CBC_SHA
• SSL_DHE_RSA_WITH_DES_CBC_SHA
• SSL_DHE_DSS_WITH_DES_CBC_SHA
• SSL_DH_anon_WITH_DES_CBC_SHA
• SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
• SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
• SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
• SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA
• SSL_RSA_EXPORT_WITH_RC4_40_MD5
• SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
• TLS_RSA_WITH_NULL_SHA256
• TLS_ECDHE_ECDSA_WITH_NULL_SHA
• TLS_ECDHE_RSA_WITH_NULL_SHA
• SSL_RSA_WITH_NULL_SHA
• TLS_ECDH_ECDSA_WITH_NULL_SHA
• TLS_ECDH_RSA_WITH_NULL_SHA
• TLS_ECDH_anon_WITH_NULL_SHA
• SSL_RSA_WITH_NULL_MD5

新しいアルゴリズムが開発され、旧アルゴリズムの有効性が以前よりも低下したと判断されると、JDKリリースのデフォルトで使用可能な暗号化方式群は変更されます。Oracle JDKでは次の2つのメカニズムを使用して、これらのアルゴリズムの使用可能性を制限します。

• jdk.tls.disabledAlgorithmsセキュリティ・プロパティ(暗号化方式群のカテゴリを無効化)。たとえば、このセキュリティ・プロパティにRC4が含まれていると、すべてのRC4ベースの暗号化方式群が無効化されます。
• 暗号化方式群を、デフォルトで有効化されない方式群のリストに移動。

jdk.tls.disabledAlgorithmsセキュリティ・プロパティの詳細は、「無効化された制限付き暗号化アルゴリズム」を参照してください。

デフォルトで使用可能な暗号化方式群の現行リストの確認

デフォルトで使用可能な暗号化方式群の現行リストを確認するには、アプリケーションAvailableCipherSuites.javaを実行します。

import java.util.*;
import java.security.*;
import javax.net.ssl.*;

public class AvailableCipherSuites {

    public static void main(String[] args) throws Exception {

        // If an argument is present, then remove the
        // jdk.tls.disabledAlgorithms restrictions and
        // print all implemented cipher suites. 
        if (args.length != 0) {
            Security.setProperty("jdk.tls.disabledAlgorithms", "");
        }

        SSLContext sslc = SSLContext.getDefault();
        SSLSocketFactory sslf = sslc.getSocketFactory();
        SSLSocket ssls = (SSLSocket) sslf.createSocket();

        ArrayList<String> enabled = new ArrayList(
                Arrays.asList(ssls.getEnabledCipherSuites()));

        ArrayList<String> supported = new ArrayList(
                Arrays.asList(ssls.getSupportedCipherSuites()));
        supported.removeAll(enabled);
        System.out.println("Enabled by Default Cipher Suites");
        System.out.println("--------------------------------");
        enabled.stream().forEach(System.out::println);

        System.out.println();

        System.out.println("Not Enabled by Default Cipher Suites");
        System.out.println("------------------------------------");
        supported.stream().forEach(System.out::println);
    }
}

引数が指定されていない場合、このアプリケーションはSSLSocket.getSupportedCipherSuites()およびSSLSocket.getEnabledCipherSuites()メソッドを呼び出して、jdk.tls.disabledAlgorithmsセキュリティ・プロパティで無効化されていない、有効かつサポートされている使用可能な暗号化方式群を出力します。引数を指定してこのアプリケーションを実行すると、セキュリティ・プロパティにより無効化制限が削除され、使用可能なすべての暗号化方式群が出力されます。

別の方法として、デフォルトで使用可能なプロトコルおよび暗号化方式群の現行リストを取得するには、次のコマンドを実行します:

java -XshowSettings:security:tls

これらのコマンドによって生成されるリストには、jdk.tls.disabledAlgorithmsセキュリティ・プロパティが無効化されている方式群は含まれないことに注意してください。

EncryptedPreMasterSecretバージョン番号チェックの強化

JDK 7リリースより前のSSL/TLS実装では、PreMasterSecret内のバージョン番号がチェックされず、SSL/TLSクライアントからデフォルトで正しいバージョン番号が送信されませんでした。システム・プロパティcom.sun.net.ssl.rsaPreMasterSecretFixがtrueに設定されないかぎり、TLSクライアントはアクティブなネゴシエートされたバージョンを送信しますが、クライアントでサポートされる予想最大バージョンは送信しません。

SSLバージョン3.0およびTLSバージョン1.0では、互換性のため、この動作は保持されます。しかし、TLSバージョン1.1以降の実装では、RFC 5246の要求に従って、PreMasterSecretバージョン番号のチェックが強化されています。クライアントは常に正しいバージョン番号を送信し、サーバーはバージョン番号を厳密にチェックします。TLS 1.1以降では、システム・プロパティcom.sun.net.ssl.rsaPreMasterSecretFixは使用されません。

アルゴリズム

SunJCEプロバイダでは、次のアルゴリズムを使用できます。

暗号の変換

次の表では、SunJCEプロバイダで使用できる暗号変換を示します。

^脚注7 値指定なしのCFB/OFBは、デフォルトでアルゴリズムのブロック・サイズになります(たとえば、AESは128で、Blowfish、DES、DESedeおよびRC2は64です。)

^脚注8 パディング・バイトがランダムであることが標準で規定または要求されているわけではありませんが、Java SE ISO10126Padding実装では、ランダムなバイトで埋められます(最後のバイトまで埋められるため、指定どおりのパディングの長さになります)。

^脚注9 PBEWithMD5AndTripleDESは、標準化されていない独自のアルゴリズムです。

キー・サイズの制限

SunJCEプロバイダでは、次のデフォルト・キーサイズ(ビット単位)を使用し、次の制限を強制します。

アルゴリズム

SunJGSSプロバイダでは、次のアルゴリズムを使用できます。

アルゴリズム

SunSASLプロバイダでは、次のアルゴリズムを使用できます。

アルゴリズム

XMLDSigプロバイダでは、次のアルゴリズムを使用できます。

SunPCSCプロバイダを使用すると、アプリケーションはJavaスマート・カードI/O APIを使用して、ベースとなるオペレーティング・システムのPC/SCスマート・カード・スタックと相互に作用することができます。詳細は、オペレーティング・システムのドキュメントを参照してください。

SolarisおよびLinuxでは、SunPCSCはlibpcsclite.soライブラリを使用してPC/SCスタックにアクセスします。これは、ディレクトリ/usr/$LIBISAおよび/usr/local/$LIBISA内でこのライブラリを検索します。$LIBISAは、64ビットのSolarisではlib/64、64ビットのLinuxではlib64にそれぞれ展開されます。システム・プロパティsun.security.smartcardio.libraryが、代替のlibpcsclite.so実装の完全なファイル名に設定される場合もあります。Windowsでは、SunPCSCは常にwinscard.dllを呼び出すため、Javaレベルの構成は不要であり、行うことができません。

ホスト・プラットフォームでPC/SCが使用可能な場合、SunPCSC実装はTerminalFactory.getDefault()およびTerminalFactory.getInstance("PC/SC")を介して取得できます。PC/SCが使用可能でないか、または正しく構成されていない場合、getInstance()の呼出しはNoSuchAlgorithmExceptionで失敗し、getDefault()は端末をサポートしないJDK組込み実装を返します。

アルゴリズム

SunPCSCプロバイダでは、次のアルゴリズムを使用できます。

アルゴリズム

SunMSCAPIプロバイダでは、次のアルゴリズムを使用できます。

キー・サイズの制限

SunMSCAPIプロバイダでは、次のデフォルト・キーサイズ(ビット単位)を使用し、次の制限を強制します。

KeyGenerator

アルゴリズム

SunECプロバイダでは、次のアルゴリズムを使用できます。

^脚注10 SunECプロバイダのネイティブ・ライブラリを削除した場合、このアルゴリズムをJCA/JCE APIを介してSunECプロバイダから使用することはできません。「SunECプロバイダのネイティブ・ライブラリを削除することの影響」を参照してください。

SunECプロバイダのネイティブ・ライブラリを削除することの影響

SunECプロバイダは、一部のECC機能の提供にネイティブ・ライブラリを使用しています。このネイティブ・ライブラリを使用しない場合は、(ご使用のオペレーティング・システムに応じて)次のファイルを削除してください:

• Linux: $JAVA_HOME/lib/libsunec.so
• macOS: $JAVA_HOME/lib/libsunec.dylib
• Windows: %JAVA_HOME%\bin\sunec.dll

ネイティブ・ライブラリを削除すると、表4-24で脚注の付いているアルゴリズムは、JCA/JCE APIを介してSunECプロバイダから使用できなくなります。

これらのアルゴリズムを使用するライブラリやツール(JSSE、XML Digital Signature、keytoolなど)は、機能が少なくなります。たとえば、JSSEでは、ECキーペアの生成や、ECベースのピア証明書の使用、SSL/TLS/DTLS接続用のECDH/ECDHEキー協定の実行ができなくなります。TLS_*_ECDSAやTLS_ECDHE_*などの暗号化方式群は使用できなくなります。SSL/TLS接続でも、RSA/DSAベースの証明書や、DH/DHE (RFC 2631)、FFDHE (RFC 7919)、XDH/x25519/x448 (RFC 7748)をベースとしたキー協定など、かわりのアルゴリズムを使用して引き続き接続を保護できます。

残りのアルゴリズム(脚注のないアルゴリズム)はネイティブ・ライブラリ・コードで実装されていないため、ネイティブ・ライブラリが削除されても、引き続きSunECプロバイダから使用できます。

キー・サイズの制限

SunECプロバイダでは、次のデフォルト・キーサイズ(ビット単位)を使用し、次の制限を強制します:

サポートされる楕円曲線名

SunECプロバイダには、楕円曲線(EC)、楕円曲線Diffie-Hellman (ECDH)および楕円曲線デジタル署名アルゴリズム(ECDSA)の各アルゴリズムで使用する様々な楕円曲線の実装が含まれます。これらの曲線の中には、サイドチャネル攻撃の防止に役立つ最新の式と技術を使用して実装されたものがあります。それ以外には、攻撃に対して脆弱である可能性があるため、使用すべきではないレガシー曲線があります。次の表に、これらの各カテゴリに分類される曲線を示します。

次の表の1列目「曲線名」に、SunECが実装する名前を示します。2列目「オブジェクト識別子」には、EC名のオブジェクト識別子を指定します。3列目「その他の名前/別名」には、その曲線のその他の名前または別名を指定します。(値N/Aは、その他の名前がないことを意味します。)1行に表示されている文字列はすべて同じ曲線を表します。たとえば、文字列secp256r1、1.2.840.10045.3.1.7、NIST P-256およびX9.62 prime256v1は同じ曲線を表します。曲線名を使用して、曲線X25519およびX448のECGenParameterSpecクラスまたはNamedParameterSpecクラスでECパラメータ生成のパラメータ仕様を作成できます。

推奨曲線

次の表に、SunECプロバイダによって提供され、最新の式と技術を使用して実装される楕円曲線を示します。これらの曲線は推奨されており、「互換性のために保持されるレガシー曲線」に示されている曲線よりも優先する必要があります。

互換性のために保持されるレガシー曲線

次の表に、SunECプロバイダによって提供され、最新の式と技術を使用して実装されていない楕円曲線を示します。これらの曲線は、互換性の理由から引き続き使用でき、レガシー・システムが新しい曲線に移行する時間を確保できます。これらの実装は、JDKの将来のバージョンで削除または置換されます。

Solaris専用のセキュリティ・プロバイダであるOracleUcryptoは、Solaris Ucryptoライブラリを利用して、Oracle SPARC T4ベースのオンコア暗号化命令でサポートされる暗号化操作のオフロードと委譲を行います。OracleUcryptoプロバイダ自体には暗号化機能は含まれていません。このプロバイダは、Java環境とSolaris Ucryptoライブラリ間のコンジットとして機能します。

基盤となるSolaris Ucryptoライブラリが特定のアルゴリズムをサポートしない場合は、OracleUcryptoプロバイダもそれをサポートしません。その結果、実行時にサポートされるアルゴリズムは、Solaris UcryptoライブラリがサポートするアルゴリズムとOracleUcryptoプロバイダが認識するアルゴリズムの共通部分になります。

アルゴリズム

OracleUcryptoプロバイダでは、次のアルゴリズムを使用できます。

キー・サイズの制限

OracleUcryptoプロバイダは、デフォルトのキー・サイズまたはキー・サイズ制限を指定しません。これらは、基盤となるSolaris Ucryptoライブラリで指定されます。

OracleUcryptoプロバイダの構成ファイル

#
# Configuration file for the OracleUcrypto provider
#
disabledServices = {
  Cipher.AES/CFB128/PKCS5Padding
  Cipher.AES/CFB128/NoPadding
}

アルゴリズム

Appleプロバイダでは、次のアルゴリズムを使用できます。

アルゴリズム

JdkLDAPプロバイダでは、次のアルゴリズムを使用できます。

アルゴリズム

JdkSASLプロバイダでは、次のアルゴリズムを使用できます。