我禁用了 MD5 算法,在 $JAVA_HOME/lib/security/java.security 文件中添加以下内容。但我仍然能够运行使用 MD5 算法的代码。
jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & usage TLSServer
jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024
jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024
但我仍然可以运行以下使用 MD5 的代码
import java.math.BigInteger;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
public class MD5 {
public static String getMd5(String input)
{
try {
// Static getInstance method is called with hashing MD5
MessageDigest md = MessageDigest.getInstance("MD5");
// digest() method is called to calculate message digest
// of an input digest() return array of byte
byte[] messageDigest = md.digest(input.getBytes());
// Convert byte array into signum representation
BigInteger no = new BigInteger(1, messageDigest);
// Convert message digest into hex value
String hashtext = no.toString(16);
while (hashtext.length() < 32) {
hashtext = "0" + hashtext;
}
return hashtext;
}
// For specifying wrong message digest algorithms
catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
// Driver code
public static void main(String args[]) throws NoSuchAlgorithmException
{
String s = "TESTFORMD%";
System.out.println("Your HashCode Generated by MD5 is: " + getMd5(s));
}
}
最佳答案
$JAVA_HOME/lib/security/java.security 中配置的安全策略会影响 JVM 处理安全相关功能的方式;它与您在代码中明确(尝试)使用的算法无关。
例如:
jdk.jar.disabledAlgorithms禁用用于验证签名 jar 文件的算法jdk.certpath.disabledAlgorithms禁用用于证书的算法(也影响 key 长度)jdk.tls.disabledAlgorithms禁用用于 TLS 密码协商的算法
因此,当您在安全配置中禁用 MD5 时,您实际上是在告诉 JVM 不要使用/信任 MD5 进行 jar 签名、证书和 TLS 协商。实际的 MD5 实现仍然存在,供您在 MessageDigest.getInstance("MD5") 中使用。
关于java - 即使在 $JAVA_HOME/lib/security/java.security 中禁用它后,MD5 算法仍可在 Java 中使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69358913/