Bezpečnostní doporučení k verzi Dell BSAFE Crypto-J 6.3

4. dubna 2023

Oznámení

Systém BSAFE Crypto-J 6.3 je také podporován u systémů BSAFE SSL-J 7.1 a 6.5.

Nové funkce

• Povolení souladu s normou FIPS 140-2 pomocí speciální publikace NIST 800-56A revize 3.
• Byla přidána bezpečná primární podpora parametrů domény DH. Patří sem: 
  • Použití parametrů FFDHE v rfc 7919 jako výchozích parametrů při inicializaci parametru DHKeyPairGenerator jednou z následujících velikostí klíčů: 
    • 2048
    • 3072
    • 4096
    • 6144
    • 8192
  • Byla přidána kontrola v režimu FIPS-140, která zajišťuje použití bezpečných primárních programů, jak je popsáno v části SP 800-56A revize 3 5.5.1.1 – Výběr/generace parametru domény FFC.
    
    Poznámka: Starší generované parametry FIPS 186-4 lze v režimu FIPS-140 použít pouze pro primární velikost 2 048 bitů. Všechny velikosti jsou však stále podporovány v režimu non-FIPS-140.
• Byla přidána podpora následujících názvů algoritmů JCE:
  • AES/KW/NoPadding nebo AESKeyWgpfc3394
  • AES/KWP/NoPadding nebo AESKeyWgp5649
• Byla přidána následující rozhraní API pro získání informací o produktu Java Crypto Module (JCM):
  • CryptoJVersion.getJCMProductID()
  • CryptoJVersion.getJCMVersionString()
• Byl povolen výstup metody toString() na objektu PublicKey , aby se vrátily podrobnosti klíče ve formátu čitelném pro člověk.
• Byla přidána podpora následujících vlastností java.security:
  • keystore.pkcs12.certProtectionAlgorithm
  • keystore.pkcs12.certPbeIterationCount
  • keystore.pkcs12.keyProtectionAlgorithm
  • keystore.pkcs12.keyPbeIterationCount
  • keystore.pkcs12.macAlgorithm
  • keystore.pkcs12.macIterationCount
• Podpis souborů Jar pomocí podepisovacího klíče Dell Technologies.

Změněné funkce

• Název šifrovacího modulu byl změněn na Dell BSAFE Java Crypto Module (BSAFE Crypto Module).
• Nástroj KeyBuilder.newECParams nyní kontroluje výsledky NamedCurve, aby používal stávající tabulku akcelerace.
• Výchozí počet iterací PBE se zvýšil na 10 000.
• Maximální velikost klíče DH byla aktualizována z 4 096 na 8 192 bitů.
• Dříve schválený algoritmus PBKDF2 schválený výrobcem je nyní ověřen fipsem 140-2.
• Byla přidána podpora pro hashovací funkce SHA-1 a SHA-3 v souladu s normou FIPS 140-2 s jedním krokem.
• Byla implementována vymazání metody citlivých dat pro třídu GCMPec.
• Nativní podpora systému BSAFE Crypto-C Micro Edition byla odstraněna.
• Implementace nástroje JsafeJCE zařízení LDAP CertStore byla zastaralá a bude odebrána v budoucí verzi.
• Soubor OpenLDAP.jar již není součástí binární distribuce.
• Podpora vlastnosti java.security, com.rsa.cryptoj.pkcs12.outputmac, byla zastaralá a bude odebrána v budoucí verzi.
• Podpora byla přidána pro software Java 11 na zdokumentovaných platformách a dodavatelích JDK.
• Software Oracle JDK 9 již není podporován.
• Položka JDK 7 již není podporována.
• Tři porty DES nejsou povoleny v provozním režimu FIPS 140-2.