22
jarsigner를 사용하여 Java jar와 같은 코드에 서명 할 때 어떤 점이 있습니까? 어떻게 보안을 제공합니까?항아리와 같은 코드 서명의 요점은 무엇입니까?
A
답변
16
JAR 파일에 서명하는 시점은 변조되지 않았 음을 확인하는 것입니다. jar 파일에 서명하면이 파일이 다른 사람에 의해 수정되지 않았 음을 확인할 수 있습니다. 이렇게하면 원래 파일에 서명 한 사람이 파일을 가져옵니다. 다른 사람이 파일을 수정 한 경우 서명 확인 프로세스가 실패합니다. public key cryptography을 사용하여 디지털 서명을 수행하는 방법에 대한 자세한 내용은 this article을 확인하십시오.
5
jar 파일에 서명 할 때 이라는 메시지가 나타나면 다른 사람이 아닌이 서명 한 것입니다.
문서에 서명 할 때와 같은 생각입니다. 서명 만 쓸 수 있습니다. 다른 사람들이 서명 할 수는 있지만 서명이 있어야 서명 할 수 있습니다.
손으로 작성한 서명으로 숙련 된 위조자가 서명을 복사하는 법을 배울 수 있습니다. digital signatures을 사용하면 개인의 개인 키를 가져와야하기 때문에 복사본을 만드는 것이 훨씬 어렵습니다. 개인 키가 없으면 자신의 서명과 같은 서명을 만들 수 없습니다.
5
jar에 서명하면 내용이 특정 인증서로 다시 연결됩니다. 그렇다면 그 증명서는 무엇입니까?
인증서의 개인 키가 도난 당하면 그다지 많지 않습니다. 비공개 키를 유지하는 변조 방지 장치가 있습니다. 그러나 종종 개인 키는 종종 개발자 컴퓨터에서 거짓말을합니다. 그 기계는 아마 잘 보호되지 않을 수 있습니다.
인증서 자체는 잘 알려진 인증 기관 (CA)에 의해 서명 될 수 있습니다. 따라서 최종 사용자는 콘텐츠의 소유권이 있다고 확신합니다. 인증서 키 보유자가 주장하는 사람의 인증 금액은 다양합니다. 이로 인해 CA는 저렴한 가격을 제공하는 절차를 간소화하는 인종 간 갈등을 낳았습니다.
확인되지 않은 인증서의 경우에도 동일한 인증서로 서명 된 다른 콘텐츠는 공통적 인 원본을 보여줍니다. 따라서 인증서를 신뢰하기로 결정하면 다른 사람을 신뢰하지 않고 동일한 출처에서 더 많은 콘텐츠를 수신 할 수 있습니다.
위의 대부분에서 인증서가 아닌 개인 키를 의미합니다. – EJP
@EJP 인증서는 개인 키를 포함하고 있습니까? 신뢰의 서명 메커니즘은 실제로 나의 전문 분야가 아닙니다. –
공용이고 공개 키와 개인 키가 들어있는 인증서가 있습니다. Java 키 저장소에서 개인 키는 cert에도 래핑되지만 구현 세부 사항 일 뿐이며 결코 그런 식으로 나오지 않으며 전체 키 저장소의 절도 또는 개인 키에 대해 주로 이 염려됩니다. certs의 도둑질에 대해 말하는 것은 의미가 없으며 공개적입니다. – EJP