OpenJ9项目中FIPS模式下JKS KeyStore不可用问题的分析与解决

背景介绍

在OpenJ9项目的测试过程中，发现了一个与FIPS（Federal Information Processing Standards）安全标准相关的兼容性问题。具体表现为在FIPS 140-3模式下运行时，测试用例SSLEngineExplorerWithSrv无法正常工作，系统抛出NoSuchAlgorithmException异常，提示"JKS KeyStore not available"。

问题现象

测试环境配置为：

• Java版本：IBM Semeru Runtime Certified Edition 21.0.7.0-rc1
• 虚拟机：Eclipse OpenJ9 VM 21.0.7.0-rc1
• 操作系统：AIX ppc64-64位系统
• 特殊配置：启用了FIPS 140-3模式和OpenJCEPlusFIPS安全提供程序

测试失败的具体表现为尝试使用JKS(Java KeyStore)类型的密钥库时，系统无法找到相应的算法实现，导致测试用例失败。

技术分析

JKS与FIPS的兼容性问题

JKS(Java KeyStore)是Java平台默认的密钥库实现，但它不符合FIPS标准。FIPS是美国联邦政府制定的一套信息安全标准，要求使用经过认证的加密算法和实现。

在FIPS模式下，OpenJ9项目使用了OpenJCEPlusFIPS安全提供程序，这是一个符合FIPS 140-3标准的安全提供程序实现。由于JKS不符合FIPS标准，因此在FIPS模式下被有意禁用，导致尝试使用JKS时抛出NoSuchAlgorithmException异常。

测试用例的特殊性

SSLEngineExplorerWithSrv测试用例是Java安全测试套件的一部分，主要用于测试SSL/TLS引擎的功能，特别是服务器名称指示(SNI)相关的功能。该测试默认使用JKS作为密钥库格式，这在非FIPS环境下工作正常，但在FIPS环境下就会出现问题。

解决方案

经过项目团队的分析和讨论，确定了以下解决方案：

1. 测试用例排除：由于该测试用例明确依赖JKS功能，而在FIPS环境下JKS不可用，最直接的解决方案是将该测试用例从FIPS测试套件中排除。

2. 多版本支持：解决方案已在多个Java版本分支中实施，包括：

   • JDK Next
   • JDK 24
   • JDK 21
   • JDK 17
   • JDK 11

实施效果

通过将SSLEngineExplorerWithSrv测试用例添加到FIPS测试的排除列表中，成功解决了在FIPS 140-3模式下测试失败的问题。这种解决方案既保证了FIPS合规性要求，又确保了测试套件的完整性。

经验总结

这个案例展示了在安全敏感环境中进行Java开发时可能遇到的兼容性问题。它提醒我们：

1. 在启用特殊安全模式(如FIPS)时，需要仔细评估所有依赖的加密算法和密钥存储机制是否符合相关标准。

2. 测试套件需要针对不同的安全环境进行适当调整，某些在普通环境下有效的测试可能在严格的安全模式下无法运行。

3. 对于开源项目而言，及时在不同版本分支中同步解决方案对于维护项目稳定性至关重要。

这个问题也体现了OpenJ9项目团队对安全合规性的重视，以及快速响应和解决问题的能力。