Il pachetto java.security.* è il provider di codifica predefinito di sun, perciò è limitato, dicono sia meglio il Bouncy Castle, rilasciato in Open Source Apache-style license al sito http://www.bouncycastle.org.

Se ha te interessa solo il pacchetto java.security non saprei aiutarti dato che tutti gli esempi che ho letto usano anche il provider sopra indicato col pacchetto javax.cripto.*;

Se sei disposto ad aggiungere il provider me lo dici, senno aspettiamo qualcuno che sappia usare solo le api standar.

Se dopo vorrai approfondire la sicurezza in ogni dettaglio con crittografia, firme, impronte, sicurezza applet, permessi di policy ecc.. Ti consiglio il libro: "Sicurezza in Java" di Jess Garms e Daniel Somerfield.