Accueil / Security / Fonctions de dérivation de clés
Security Avancé

Fonctions de dérivation de clés

Dérivez des clés cryptographiques en utilisant l'API KDF standard.

Comparaison de Code
✕ Java 8 
SecretKeyFactory factory =
    SecretKeyFactory.getInstance(
        "PBKDF2WithHmacSHA256");
KeySpec spec = new PBEKeySpec(
    password, salt, 10000, 256);
SecretKey key =
    factory.generateSecret(spec);
✓ Java 25 
var kdf = KDF.getInstance("HKDF-SHA256");
SecretKey key = kdf.deriveKey(
    "AES",
    KDF.HKDFParameterSpec
        .ofExtract()
        .addIKM(inputKey)
        .addSalt(salt)
        .thenExpand(info, 32)
        .build()
);
Un problème avec ce code ? Dites-le nous.
Pourquoi la méthode moderne gagne
📐

API propre

Pattern builder au lieu de constructeurs encombrants de KeySpec.

🔧

Support HKDF

Algorithme HKDF moderne aux côtés de PBKDF2.

🛡️

Standard

API unifiée pour tous les algorithmes de dérivation de clés.

Ancienne Approche
PBKDF2 manuel
Approche Moderne
API KDF
Depuis JDK
25
Difficulté
Avancé
Support JDK
Fonctions de dérivation de clés
Disponible

Finalisé dans JDK 25 LTS (JEP 510, sept. 2025).

Comment ça fonctionne

L'API KDF fournit une interface standard pour les fonctions de dérivation de clés, y compris HKDF. Elle remplace l'encombrant pattern SecretKeyFactory + PBEKeySpec par une API propre basée sur un builder.

Documentation Associée
Key Derivation Functions (JEP 478) ↗
Patterns associés
Security Avancé

PEM encoding/decoding

Java 8
String pem = "-----BEGIN CERTIFICATE-----\n"
    + Base64.getMimeEncoder()
        .encodeToString(
            cert.getEncoded())
    + "\n-----END CERTIFICATE-----";
Java 25 (Preview)
// Encode to PEM
String pem = PEMEncoder.of()
    .encodeToString(cert);
// Decode from PEM
var cert = PEMDecoder.of()
    .decode(pemString);
Survolez pour voir le moderne ➜
JDK 25+
Security Débutant

Strong random generation

Java 8
// Default algorithm — may not be
// the strongest available
SecureRandom random =
    new SecureRandom();
byte[] bytes = new byte[32];
random.nextBytes(bytes);
Java 9+
// Platform's strongest algorithm
SecureRandom random =
    SecureRandom.getInstanceStrong();
byte[] bytes = new byte[32];
random.nextBytes(bytes);
Survolez pour voir le moderne ➜
JDK 9+
Security Intermédiaire

TLS 1.3 by default

Java 8
SSLContext ctx =
    SSLContext.getInstance("TLSv1.2");
ctx.init(null, trustManagers, null);
SSLSocketFactory factory =
    ctx.getSocketFactory();
// Must specify protocol version
Java 11+
// TLS 1.3 is the default!
var client = HttpClient.newBuilder()
    .sslContext(SSLContext.getDefault())
    .build();
// Already using TLS 1.3
Survolez pour voir le moderne ➜
JDK 11+
Partager 𝕏 🦋 in