Início / Security / Funções de Derivação de Chaves
Security Avançado

Funções de Derivação de Chaves

Derive chaves criptográficas usando a API padrão KDF.

Comparação de Código
✕ Java 8 
SecretKeyFactory factory =
    SecretKeyFactory.getInstance(
        "PBKDF2WithHmacSHA256");
KeySpec spec = new PBEKeySpec(
    password, salt, 10000, 256);
SecretKey key =
    factory.generateSecret(spec);
✓ Java 25 
var kdf = KDF.getInstance("HKDF-SHA256");
SecretKey key = kdf.deriveKey(
    "AES",
    KDF.HKDFParameterSpec
        .ofExtract()
        .addIKM(inputKey)
        .addSalt(salt)
        .thenExpand(info, 32)
        .build()
);
Viu um problema com este código? Nos avise.
Por que a forma moderna ganha
📐

API limpa

Padrão builder no lugar de construtores KeySpec desajeitados.

🔧

Suporte a HKDF

Algoritmo moderno HKDF junto com PBKDF2.

🛡️

Padronizado

API unificada para todos os algoritmos de derivação de chaves.

Abordagem Antiga
PBKDF2 manual
Abordagem Moderna
API KDF
Desde o JDK
25
Dificuldade
Avançado
Suporte JDK
Funções de Derivação de Chaves
Disponível

Finalizado no JDK 25 LTS (JEP 510, setembro de 2025).

Como funciona

A API KDF fornece uma interface padrão para funções de derivação de chaves, incluindo HKDF. Ela substitui o padrão desajeitado de SecretKeyFactory + PBEKeySpec por uma API limpa com builder.

Documentação Relacionada
Key Derivation Functions (JEP 478) ↗
Padrões relacionados
Security Avançado

PEM encoding/decoding

Java 8
String pem = "-----BEGIN CERTIFICATE-----\n"
    + Base64.getMimeEncoder()
        .encodeToString(
            cert.getEncoded())
    + "\n-----END CERTIFICATE-----";
Java 25 (Preview)
// Encode to PEM
String pem = PEMEncoder.of()
    .encodeToString(cert);
// Decode from PEM
var cert = PEMDecoder.of()
    .decode(pemString);
Passe o mouse para ver o moderno ➜
JDK 25+
Security Iniciante

Strong random generation

Java 8
// Default algorithm — may not be
// the strongest available
SecureRandom random =
    new SecureRandom();
byte[] bytes = new byte[32];
random.nextBytes(bytes);
Java 9+
// Platform's strongest algorithm
SecureRandom random =
    SecureRandom.getInstanceStrong();
byte[] bytes = new byte[32];
random.nextBytes(bytes);
Passe o mouse para ver o moderno ➜
JDK 9+
Security Intermediário

TLS 1.3 by default

Java 8
SSLContext ctx =
    SSLContext.getInstance("TLSv1.2");
ctx.init(null, trustManagers, null);
SSLSocketFactory factory =
    ctx.getSocketFactory();
// Must specify protocol version
Java 11+
// TLS 1.3 is the default!
var client = HttpClient.newBuilder()
    .sslContext(SSLContext.getDefault())
    .build();
// Already using TLS 1.3
Passe o mouse para ver o moderno ➜
JDK 11+
Compartilhar 𝕏 🦋 in