本博客日IP超过2000,PV 3000 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog2,之前的微信号好友位已满,备注:返现
受密码保护的文章请关注“业余草”公众号,回复关键字“0”获得密码
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
【腾讯云】1核2G5M轻量应用服务器50元首年,高性价比,助您轻松上云
众所周知,Java 现在是每半年发布一个版本。今天,我抽空看了一样 JDK 27,天塌了,竟然只有一个 JEP。
虽然,前面我已经给大家有过预期,Java 新版本的 JEP 会越来越少。这还不是只有我一个人这样说,老外有几个大佬通过数据分析也得出同样的结论,那就是新版本的 JEP 会越来越少。甚至是有些 JEP 会在几个 JDK 版本之间来回预览多次。
所以,JDK 27 肯定不会只有一个 JEP 的,因为 JDK 26 中不少处于预览状态的 JEP 会再次合并进 JDK 27 的,至于哪些 JEP 会转正,还需要看接下来几个月的迭代验证情况了。
虽然现在 JDK 27 只有一个 JEP,我这里就先来分享一下,这个 JEP 是干啥的(当 JDK 只剩一个 JEP,它在憋什么大招)?
冷清的 JDK 27
根据 OpenJDK 的发布计划,JDK 27 预计 2026 年 9 月发布,但目前只确定了一个 JEP,那就是#JEP 527。
这与 JDK 26 形成了鲜明对比。JDK 26 一口气包含了 10 个 JEP,看起来比 Java 8 是少了很多,但它涵盖了 HTTP/3、结构化并发、Vector API、G1 GC 优化等多个领域。那么,为什么 JDK 27 目前看起来如此冷清?
我们接着往下看。
为什么只有一个 JEP?
文章配图参见 https://mp.weixin.qq.com/s/Q8cT5PggkO9rsV2oHXQuJw。
我认为造成当前 JDK 27 只有一个 JEP 的原因逃不脱下面 4 点。
- 开发周期尚早:JDK 27 预计 2026 年 9 月才正式发布,目前还处于非常早期的阶段。按照 OpenJDK 的发布节奏,更多 JEP 会在后续几个月陆续加入。
- JDK 26 的“虹吸效应”:很多正在孵化或预览的特性(如 Valhalla 项目的值类、Leyden 项目的启动优化等)正在 JDK 26 中进行迭代,可能要到 JDK 27 或更晚才会正式落地。
- LTS 周期调整后的策略变化:Java 现在每两年发布一个 LTS 版本(21、25、29…),非 LTS 版本(如 26、27、28)的定位更像是“技术预览版”,功能数量自然会有波动。
- Oracle 重心放在商业化:Oracle 新搞了一个 JVP,倾向于商业化收钱,且新版本的 JEP 正在变少,迭代在加快,发版在加快,Java 趋于稳定。
JEP 527 后量子混合密钥交换
虽然只有一个 JEP,但它的技术含量和战略意义不容小觑。JEP 527: Post-Quantum Hybrid Key Exchange for TLS 1.3(后量子混合密钥交换)是 Java 平台在后量子密码学领域的重要布局。
什么是后量子密码学?
要知道,量子计算机的发展对现有加密体系构成了根本性威胁。传统的 RSA 和 ECDH 算法在足够强大的量子计算机面前将变得不堪一击。更严峻的是,攻击者可能今天就开始“囤积”加密数据,等量子计算机成熟后再解密,这就是所谓的先收集,后解密(Harvest Now, Decrypt Later)攻击。
JEP 527 的核心内容
该 JEP 为 TLS 1.3 实现了三种混合密钥交换方案,将抗量子算法与传统算法结合。
| 算法名称 | 组合方式 | 默认启用 |
|---|---|---|
#X25519MLKEM768 | X25519 + ML-KEM-768 | 是(最优先) |
#SecP256r1MLKEM768 | secp256r1 + ML-KEM-768 | 否 |
#SecP384r1MLKEM1024 | secp384r1 + ML-KEM-1024 | 否 |
这种混合方案的优势是,只要其中一种算法未被破解,整个通信就是安全的。这种“双保险”设计既防范了未来的量子攻击,又保留了传统算法的可靠性。
对开发者意味着什么?
简单来说就是,零代码改动,自动升级安全性。
JDK 27 会将 X25519MLKEM768 设为 TLS 1.3 客户端的首选密钥交换方案。只要你的应用使用 javax.net.ssl API 且不强制指定密钥交换算法,升级到 JDK 27 后将自动获得抗量子攻击能力。
如果你需要精细控制,也可以通过下面代码的方式进行自定义。
SSLSocket tlsSock = (SSLSocket)(SSLContext.getDefault()
.getSocketFactory().createSocket());
SSLParameters params = tlsSock.getSSLParameters();
// 自定义密钥交换方案优先级
params.setNamedGroups(new String[] {
"SecP256r1MLKEM768", "X25519MLKEM768", "secp256r1", "x25519"
});
tlsSock.setSSLParameters(params);JEP 527 的实现建立在 Java 平台过去几年的密码学基础设施之上。
- Java 21(JEP 452):引入了 KEM API(密钥封装机制 API)
- Java 24(JEP 496):实现了 ML-KEM(量子抗性模块格密钥封装机制)算法
JEP 527 正是利用这些基础组件,将后量子密码学能力延伸到 TLS 层。
JEP 527 带来积极影响
主要体现在以下 3 个方面。
- 前瞻性安全:Java 成为首批在标准库中内置后量子 TLS 支持的主流语言之一
- 合规准备:满足政府和金融机构对“量子安全”的合规要求
- 无缝迁移:现有应用无需修改即可获得增强安全性
需要注意的风险
需要注意的是,此规范尚未最终定稿。IETF 关于 TLS 1.3 混合密钥交换的规范目前仍处于草案阶段,尚未成为正式 RFC。如果规范在标准化过程中发生实质性变更,JDK 的实现也需要相应调整。
JDK 27 还会有什么?
虽然当前只有一个 Targeted JEP,但社区中已有多个候选特性可能在后续加入 JDK 27。
- Valhalla 项目:值类和对象(Value Classes)的持续迭代
- Leyden 项目:ZGC 启动优化(JEP Draft 8329758)
- Amber 项目:惰性常量(Lazy Constants)的第三轮预览
总结
虽然 JDK 27 目前只有一个 JEP,但这并不意味着它缺乏价值。恰恰相反,JEP 527 代表了 Java 平台在安全领域的战略性投资,在量子计算时代到来之前,提前为开发者筑起防线。
对于 Java 开发者来说,这是一个“无感知升级”的好消息。我们只需要升级 JDK,就能让系统里的 HTTPS 通信在未来几十年内保持安全。
最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号:xttblog2。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!