BouncyCastle FIPS 2.x 在 JDK21 中的加载问题解析

问题背景

在从 JDK8 + BouncyCastle FIPS 1.x 迁移到 JDK21 + BouncyCastle FIPS 2.x 的过程中，开发者遇到了安全提供程序加载失败的问题。错误表现为 BouncyCastle FIPS 提供程序初始化时抛出异常，导致整个安全机制无法正常工作。

错误现象

当尝试在 JDK21 环境中加载 BouncyCastle FIPS 2.x 提供程序时，系统抛出 ExceptionInInitializerError 异常。从堆栈跟踪中可以观察到：

1. 异常根源是 NullPointerException，发生在尝试获取系统资源时
2. 错误链显示系统尝试加载 MD5 算法提供程序
3. 最终导致 CryptoServicesRegistrar 类初始化失败

根本原因分析

经过深入排查，发现问题的核心在于加载方式的选择。开发者最初使用了 --patch-module 参数来加载 BouncyCastle 的 JAR 文件：

--patch-module java.base=/path/to/bc-fips-2.1.0.jar:/path/to/bctls-fips-2.1.20.jar

这种加载方式在 JDK21 环境下会导致以下问题：

1. 模块系统冲突：直接修补 java.base 模块可能干扰 Java 平台模块系统的正常运作
2. 资源加载异常：模块修补改变了类加载器的资源查找机制，导致 BouncyCastle 无法正确验证其 FIPS 状态
3. 安全限制：JDK21 加强了安全策略，默认禁用了 MD5 等算法，而修补模块方式可能绕过这些限制检查

解决方案

正确的解决方法是使用标准的模块路径(--module-path)来加载 BouncyCastle FIPS 库，而不是修补基础模块。具体操作如下：

1. 移除 --patch-module 参数
2. 使用 --module-path 指定 BouncyCastle JAR 文件路径
3. 确保 java.security 文件中的提供程序配置正确

配置建议

对于需要在 JDK21 中使用 BouncyCastle FIPS 2.x 的环境，推荐以下配置：

1. java.security 文件配置：

security.provider.1=org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider C:DEFRND[SHA256];ENABLE{ALL};
security.provider.2=org.bouncycastle.jsse.provider.BouncyCastleJsseProvider fips:BCFIPS
security.provider.3=sun.security.provider.Sun

2. JVM 启动参数：

--module-path /path/to/bc-fips-2.1.0.jar:/path/to/bctls-fips-2.1.20.jar

技术要点

1. 模块化兼容性：JDK9 引入的模块系统要求库开发者明确声明模块信息，BouncyCastle FIPS 2.x 已做好相应适配
2. 安全策略演进：JDK21 进一步收紧了默认安全策略，开发者需要明确了解哪些算法被限制
3. FIPS 验证机制：BouncyCastle FIPS 版本有严格的自我验证流程，正确的加载方式是其正常运行的前提

总结

从 JDK8 迁移到 JDK21 并升级 BouncyCastle FIPS 版本时，开发者需要注意 Java 模块系统的变化。避免使用 --patch-module 修补基础模块，转而使用标准的模块路径加载方式，可以确保安全提供程序正确初始化和运行。这种改变不仅解决了当前的加载问题，也为应用提供了更好的安全性和未来兼容性。