OpenJ9项目中FIPS模式下Windows-MY密钥库不可用问题的分析与解决

在OpenJ9项目的测试过程中，发现了一个与FIPS（Federal Information Processing Standards，联邦信息处理标准）模式相关的安全测试用例失败问题。该问题涉及到Windows平台特有的密钥库实现，值得深入探讨。

问题背景

测试用例sun/security/mscapi/nonUniqueAliases/NonUniqueAliases.java在Windows平台的FIPS模式下运行时出现了异常。具体表现为无法加载"Windows-MY"类型的密钥库，抛出了java.security.KeyStoreException: Windows-MY not found异常。

技术分析

1. 密钥库机制：Java安全体系通过KeyStore类提供密钥和证书的存储管理功能。Windows平台特有的"Windows-MY"密钥库类型允许Java程序访问Windows系统的证书存储区。

2. FIPS模式限制：当JVM以FIPS 140-3安全标准运行时（通过-Dsemeru.fips=true参数启用），系统会强制执行严格的加密模块验证要求。在这种模式下，非FIPS验证的加密提供程序将不可用。

3. 根本原因：Windows-MY密钥库实现依赖于Windows系统的原生加密API，这些API并未通过FIPS认证。因此，在FIPS模式下，Java安全框架会主动阻止加载这种不符合FIPS标准的密钥库提供程序。

解决方案

经过技术评估，项目团队决定采取以下措施：

1. 测试用例排除：由于无法在FIPS模式下以编程方式安装Windows-MY这样的提供程序，将相关测试用例添加到排除列表中。

2. 版本适配：该解决方案已通过Pull Request在多个JDK版本分支中实施，包括：

   • JDK 11
   • JDK 17
   • JDK 21
   • JDK 24
   • 主分支(next)

技术启示

这个问题揭示了在FIPS合规环境下开发时需要考虑的几个重要方面：

1. 加密模块兼容性：所有使用的加密组件必须经过FIPS认证。

2. 平台特性适配：特定平台的功能（如Windows证书存储）可能无法满足严格的合规要求。

3. 测试策略调整：在启用安全合规模式时，需要重新评估测试套件的适用性。

该问题的处理展示了OpenJ9项目团队对安全合规性的严谨态度，以及在多版本维护中的高效协调能力。通过这种系统性的问题解决方式，确保了项目在不同安全要求下的稳定性和合规性。