• Oracle Technology Network
• ソフトウェアダウンロード
• ドキュメント

検索

次の項目について説明します。

• Java SE 7 Update 2 の拡張機能
• Java SE 7 での拡張機能

Java SE 7 Update 2 の拡張機能

分野: Java 暗号化拡張機能
概要: 楕円曲線暗号 (ECC) 鍵を含む公開鍵証明書は、Solaris 11 上の SunPKCS11 JCE セキュリティープロバイダによって正しく解析されます。7054637 を参照してください。

Java SE 7 での拡張機能

Java SE 7 リリースには、次の機能が追加されています。

• 楕円曲線暗号 (ECC)

  Java SE 7 リリースには、ECC ベースの複数のアルゴリズム (ECDSA/ECDH) を提供する新しいネイティブプロバイダが追加されました。詳細は、「Java 暗号化アーキテクチャー Oracle プロバイダのドキュメント」の SunEC プロバイダでサポートされるアルゴリズムに関するセクションを参照してください。

  
  
• CertPath アルゴリズムの無効化

  脆弱な暗号化アルゴリズムを無効化できるようになりました。たとえば、MD2 ダイジェストアルゴリズムは安全と見なされなくなっています。Java SE 7 リリースでは、証明書パス処理および TLS ハンドシェークで特定のアルゴリズムの使用を拒否するためのメカニズムが提供されています。詳細は、『Java PKI プログラマーズガイド』の暗号化アルゴリズムの無効化に関する付録 D および『Java Secure Socket Extension (JSSE) リファレンスガイド』の無効化された暗号化アルゴリズムについて参照してください。

  
  
• JSSE (SSL/TLS)
  • TLS 1.1

    SunJSSE プロバイダは、RFC 4346 に記述されている TLS 1.1 をサポートするようになりました。もっとも重要な更新は、暗号ブロック連鎖 (CBC) 攻撃に対する保護です。

    
    
  • TLS 1.2

    SunJSSE プロバイダは、RFC 5246 に記述されている TLS 1.2 をサポートするようになりました。特に重要な点として、さまざまな内部ハッシングアルゴリズムを規定し、新しい暗号化方式群を追加し、柔軟性を (特に暗号化アルゴリズムのネゴシエーションについて) 高めています。

    
    
  • 脆弱な暗号化方式群を非推奨に設定

    RFC 4346、RFC 5246、および RFC 5469 に従って、一部の暗号化方式群が廃止されたため、それらの使用は推奨されません。これらの廃止された暗号化方式群は、SunJSSE ではデフォルトですべて無効になっています。詳細は、SunJSSE プロバイダに関するドキュメントの暗号化方式群のリストを参照してください。

    
    
  • 接続を考慮したトラスト管理

    トラストマネージャーとキーマネージャーが、ハンドシェーク中に TLS 接続 (具体的には作成中の SSLSession) のパラメータを検査できるようになりました。たとえば、トラストマネージャーは、有効な署名アルゴリズムのリストに基づいて、使用される証明書の種類を制限できます。

    
    
  • エンドポイントの検証

    リモートコンピュータのホストアドレスが特定の証明書と一致することを検証するためのエンドポイント識別アルゴリズムを指定できます。この種の検証は、以前は HTTPS プロトコルで実行されていましたが (HttpsURLConnection および HostnameVerifier を参照)、このような検証を TLS レベルで必要に応じて実行できるようになりました。

    
    
  • TLS の再ネゴシエーション

    Java SE では、TLS プロトコルの再ネゴシエーションの問題を解決する RFC 5746 がサポートされます。

    
    
  • クライアントの SSLv2Hello をデフォルトで無効化

    Java SE 7 では、クライアント上のデフォルトで有効なプロトコルのリストから SSLv2Hello が削除されています。

    
    
  • アルゴリズムの無効化

    前述のとおり、脆弱な暗号化アルゴリズムを無効化できるようになりました。

    
    
  • JSSE クライアントの Server Name Indication (SNI)

    Java SE 7 リリースでは、JSSE クライアントでの Server Name Indication (SNI) 拡張がサポートされます。SNI については、RFC 4366 で説明されています。これによって、TLS クライアントが仮想サーバーに接続できます。

    
    
  • EncryptedPreMasterSecret バージョン番号チェックの強化

    Java SE 7 では、TLS 1.1 および TLS 1.2 のハンドシェーク中のバージョン番号チェックが強化されています。詳細は、「Java 暗号化アーキテクチャー Oracle プロバイダのドキュメント」の「EncryptedPreMasterSecret バージョン番号チェックの強化」を参照してください。

    
    

さらに、次の拡張機能が追加されています。

分野: セキュリティー
標準/プラットフォーム: Java SE 7
概要:Java SE 7 では、セキュリティーアルゴリズムの要件が定義され、Java SE 7 のすべての実装でサポートされる必要があるアルゴリズムのリストが提供されています。該当するクラス (例: java.security.Signature) のクラスのサマリーが更新され、実装要件が追加されました。また、標準アルゴリズムのドキュメントの「実装要件」セクションにすべての要件のリストが記載されています。
RFE: 5001004

分野: API:JSSE
標準/プラットフォーム: Java SE 7
概要:以前のリリースでは、デフォルトのアルゴリズムを除き、KeyManagerFactory の標準アルゴリズム名がありませんでした。Java SE 7 リリースでは、KeymanagerFactory の標準アルゴリズム名として「PKIX」がエクスポートされています。「PKIX」の KeyManagerFactory アルゴリズムは次のように定義されます。
X509ExtendedKeyManager のファクトリであり、IETF PKIX ワーキンググループによって RFC 3280 またはその後継で定義された規則に従って、ローカル側の認証に使用する X.509 証明書ベースの鍵ペアを管理します。KeyManagerFactory は、クラス javax.net.ssl.KeyStoreBuilderParameters を使用した初期化をサポートする必要があります。
RFE: 7022855

分野: API:JSSE
標準/プラットフォーム: Java SE 7
概要:SunJSSE プロバイダに TLS 1.2 のサポートが追加されました。
RFE: 6916074

分野: JSSE
標準/プラットフォーム: JDK 7
概要: TLS の再ネゴシエーションの修正が実装されました。詳細は、「TLS/SSLv3 Renegotiation Vulnerability Explained」、「Understanding the TLS Renegotiation Attack」、および「Authentication Gap in TLS Renegotiation」を参照してください。

分野: JSSE
標準/プラットフォーム: JDK 7
概要: SunJSSE プロバイダの JSSE クライアントに Server Name Indication (SNI) 拡張のサポートが追加されました。
RFE: 6985179

分野: SASL
標準/プラットフォーム: JDK 7
概要: クライアント側とサーバー側の両方で、NTLM が SASL メカニズムとしてサポートされるようになりました。実装されているのは認証レイヤーのみであり、通信のプライバシや統合は保護されません。
RFE: 6911951

分野: セキュリティー
標準/プラットフォーム: JDK 7
概要: PKIX の実装が拡張され、対応する鍵の堅牢性が十分でない場合 (MD2 ハッシュ関数や、キーサイズが 1024 未満の RA 鍵など) に証明書を拒否するオプションが追加されました。
RFE: 6792180

分野: API:JSSE
標準/プラットフォーム: JDK 7
概要: TLS 1.1 のサポートが SunJSSE プロバイダに追加されたため、SunJSSE プロバイダのデフォルトでは「擬似プロトコル」 SSLv2Hello がアクティブでなくなりました。
RFE: 4873177

分野: JGSS
標準/プラットフォーム: JDK 7
概要: キータブファイルが変更されるたびに、Java によってこのファイルが読み取られるようになりました。このファイルを使用するアプリケーションが起動されるときに、このファイルが空白であっても、存在しなくてもかまいません。

分野: JGSS
標準/プラットフォーム: JDK 7
概要: Windows システムや *nix システムに対して、デフォルトで krb5.conf が設定された JGSS 向けのデフォルト構成ファイルが提供されるようになりました。これにより、JGSS や krb5 のプログラム (特に Java アプレットの配備) が非常に簡単になります。
RFE: 6483218, 6785456, 6552334

分野: JCE
標準/プラットフォーム: JDK 7
概要: SunPKCS11 プロバイダで Raw RSA 暗号化がサポートされるようになりました。たとえば、基盤となる PKCS11 ライブラリで CKM_RSA_X_509 メカニズムがサポートされている場合、Cipher.getInstance("RSA/ECB/NoPadding") を呼び出すことができます。また、Cipher オブジェクトを要求するときに、SunPKCS11 プロバイダは「RSA」を「RSA/ECB/PKCS1Padding」変換のエイリアスとして認識します。
RFE: 6994008

分野: JCE
標準/プラットフォーム: JDK 7
概要: 特定のブロック暗号に対して、SunPKCS11 プロバイダで PKCS5Padding を使用した ECB モードと CBC モードがサポートされるようになりました。より具体的には、対応する PKCS11 メカニズムが基盤となる PKCS11 ライブラリによってサポートされている場合、Cipher.getInstance(...) の呼び出しに対して次の変換がサポートされます。

DES, DESede, AES, and Blowfish with CBC mode and PKCS5Padding
DES, DESede, AES with ECB mode and PKCS5Padding
DES, DESede, AES with ECB mode and NoPadding

分野: JCE
標準/プラットフォーム: JDK 7
概要: 基盤となる PKCS11 ライブラリで CKM_AES_CTR メカニズムがサポートされている場合、SunPKCS11 プロバイダでカウンタモード (CTR) を使用した AES 暗号化 (たとえば、Cipher.getInstance("AES/CTR/NoPadding") の呼び出し) がサポートされるようになりました。
RFE: 6604496

分野: JCE
標準/プラットフォーム: JDK 7
概要: Solaris 10 update 5 リリースで Solaris の関連するバグ (6306708 「CKM_SSL3_KEY_AND_MAC_DERIVE によって、エクスポート可能な暗号化方式群に対して誤った暗号化鍵が返される」) が解決されたため、SunPKCS11 プロバイダで次の 2 つのメカニズムがデフォルトで無効化されなくなりました。

CKM_SSL3_KEY_AND_MAC_DERIVE
CKM_TLS_KEY_AND_MAC_DERIVE