Canales Java.nio y TLS

Question

¿Cómo aseguro un Java SocketChannel, ServerSocketChannel o, incluso, un DatagramChannel con TLS?

Sé que hay algunos marcos (#1#2) que anuncian poder, pero quiero saber si es posible lograr esto solo con la biblioteca estándar pura de Java.

Answer 1

Debe usar SSLEngine y hacer el saludo manualmente usando esa máquina de estados. SSL/TLS se implementa sobre TCP para que no pueda usarlo directamente en la parte superior de DatagramChannel.

El artículo SSL with Java NIO puede ser útil.

Answer 2

Debe usar SSLEngine, como se documenta en Non-blocking I/O with SSLEngine. Las bibliotecas que mencionas lo usan o usan bibliotecas que lo usan.

(Tenga en cuenta que esto es muy difícil de usar.)

Usted puede encontrar estos enlaces interesantes:

• This answer (que también contiene un enlace a un capítulo de un libro).
• Notes from Jean-François Arcand quién lo implementó en Grizzly.
• Un tipo de problemas que puede obtener con SSL/TLS asincrónico.
• Familiarizarse con los problemas mencionados en estos this question también debería ser relevante (en particular, cómo tratar con ellos en modo asíncrono).
• El Simple Framework también tiene soporte para async SSL/TLS.

---

para datagramas, usted debe buscar en el uso de DTLS en lugar de TLS. No estoy seguro de su estado de implementación en Java, pero podría buscar en los archivos de la lista de correo java.openjdk.security.devel.

Answer 3

Como Bruno menciona correctamente, la forma estándar de hacerlo es utilizando SSLEngine. Pero esa clase es seriamente difícil de usar.

Me encontré con el mismo problema hace algún tiempo y terminé escribiendo mi propia biblioteca. Hay algunos ejemplos y, por supuesto, también está el código dentro de proyectos como Netty, etc. Pero ninguna de las opciones es sólida ni se puede reutilizar fácilmente.

TLS Channel envuelve un SSLEngine en un ByteBuffer y permite usarlo como los SocketChannels normales.