Jar 文件数字签名

最新推荐文章于 2024-08-05 10:22:40 发布
最新推荐文章于 2024-08-05 10:22:40 发布
阅读量7.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Java-J2EE 文章标签: jar 工具 jdk 数据库 扩展 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hunterK/article/details/1186742

JAR 文件中的安全性

JAR 文件可以用 jarsigner 工具或者直接通过 java.security API 签名。一个签名的 JAR 文件与原来的 JAR 文件完全相同,只是更新了它的 manifest,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。

JAR 文件是用一个存储在 Keystore 数据库中的证书签名的。存储在 keystore 中的证书有密码保护,必须向 jarsigner 工具提供这个密码才能对 JAR 文件签名。


图 1. Keystore 数据库 
 

JAR 的每一位签名者都由在 JAR 文件的 META-INF 目录中的一个具有 .SF 扩展名的签名文件表示。这个文件的格式类似于 manifest 文件 -- 一组 RFC-822 头。如下所示,它的组成包括一个主要部分,它包括了由签名者提供的信息、但是不特别针对任何特定的 JAR 文件项,还有一系列的单独的项,这些项也必须包含在 menifest 文件中。在验证一个签名的 JAR 时,将签名文件的摘要值与对 JAR 文件中的相应项计算的摘要值进行比较。


清单 1. 签名 JAR 中的 Manifest 和 signature 文件

Contents of signature file META-INF/MANIFEST.MF

Manifest-Version: 1.0
Created-By: 1.3.0 (Sun Microsystems Inc.)

Name: Sample.java
SHA1-Digest: 3+DdYW8INICtyG8ZarHlFxX0W6g=

Name: Sample.class
SHA1-Digest: YJ5yQHBZBJ3SsTNcHJFqUkfWEmI=

Contents of signature file META-INF/JAMES.SF

Signature-Version: 1.0
SHA1-Digest-Manifest: HBstZOJBuuTJ6QMIdB90T8sjaOM=
Created-By: 1.3.0 (Sun Microsystems Inc.)

Name: Sample.java
SHA1-Digest: qipMDrkurQcKwnyIlI3Jtrnia8Q=

Name: Sample.class
SHA1-Digest: pT2DYby8QXPcCzv2NwpLxd8p4G4=

数字签名

一个数字签名是.SF 签名文件的已签名版本。数字签名文件是二进制文件,并且与 .SF 文件有相同的文件名,但是扩展名不同。根据数字签名的类型 -- RSA、DSA 或者 PGP -- 以及用于签名 JAR 的证书类型而有不同的扩展名。

Keystore

要签名一个 JAR 文件,必须首先有一个私钥。私钥及其相关的公钥证书存储在名为 keystores 的、有密码保护的数据库中。JDK 包含创建和修改 keystores 的工具。keystore 中的每一个密钥都可以用一个别名标识,它通常是拥有这个密钥的签名者的名字。

所有 keystore 项(密钥和信任的证书项)都是用唯一别名访问的。别名是在用 keytool -genkey 命令生成密钥对(公钥和私钥)并在 keystore 中添加项时指定的。之后的 keytool 命令必须使用同样的别名引用这一项。

例如,要用别名“james”生成一个新的公钥/私钥对并将公钥包装到自签名的证书中,要使用下述命令:


keytool -genkey -alias james -keypass jamespass 
        -validity 80 -keystore jamesKeyStore 
        -storepass jamesKeyStorePass

这个命令序列指定了一个初始密码“jamespass”,后续的命令在访问 keystore “jamesKeyStore”中与别名“james”相关联的私钥时,就需要这个密码。如果 keystore“jamesKeyStore”不存在,则 keytool 会自动创建它。

jarsigner 工具

jarsigner 工具使用 keystore 生成或者验证 JAR 文件的数字签名。

假设像上述例子那样创建了 keystore “jamesKeyStore”,并且它包含一个别名为“james”的密钥,可以用下面的命令签名一个 JAR 文件:


jarsigner -keystore jamesKeyStore -storepass jamesKeyStorePass 
          -keypass jamespass -signedjar SSample.jar Sample.jar james

这个命令用密码“jamesKeyStorePass”从名为“jamesKeyStore”的 keystore 中提出别名为“james”、密码为“jamespass”的密钥,并对 Sample.jar 文件签名、创建一个签名的 JAR -- SSample.jar。

jarsigner 工具还可以验证一个签名的 JAR 文件,这种操作比签名 JAR 文件要简单得多,只需执行以下命令: 


jarsigner -verify SSample.jar

如果签名的 JAR 文件没有被篡改过,那么 jarsigner 工具就会告诉您 JAR 通过验证了。否则,它会抛出一个 SecurityException , 表明哪些文件没有通过验证。

还可以用 java.util.jarjava.security API 以编程方式签名 JAR(有关细节参阅 参考资料)。也可以使用像 Netscape Object Signing Tool 这样的工具。

将已签名的Jar包清理,重新签名

1 .  resign . sh script (strips key ,  adds key ,  add  index ) # !/bin/sh
 
# $Id: resign.sh,v 1.3 2002/07/02 13:57:32 mvw Exp $
# This script resigns the jars 
# (remove old signature, add new signature)
 
# settings for present foo server
JDK =/ usr / java / j2sdk1 . 4.0
 
KEYSTORE =../../ Frontend / webstart / key / fooKeystore
 
 .   ./ files . sh
 
 for  i in  $unsigned_files
do
  echo  " --- "
  echo  " unpacking $i .. "
  TMP = tmp - $i
   mkdir   $TMP
  cd  $TMP
  unzip  - ../ $i
   chmod   - R u + rwx  *
  find  .   - type f  |  xargs  chmod  u -x
  echo  " changing META-INF stuff .. "
  cd META - INF
  rm  - *. SF
  rm  - *. DSA
   #  this will determine the line number of the first blank line in MANIFEST.MF
  # (a blank line here is anything that has no letter/number)
  CUT = `egrep  - nv  ' ^.*[a-z|A-Z|0-9]+.*$ '  MANIFEST . MF | sed s /://| head  - 1 | tr  - " " `
   if  [  - " $CUT "  ]; 
  then 
    echo  " no cut detected "
   else  
    echo  " cutting MANIFEST.MF at line $CUT .. "   &&  
    head  - $CUT  MANIFEST . MF  > m . mf  &&  
    rm  - f MANIFEST . MF  &&  
    mv m . mf MANIFEST . MF  &&  
    cat MANIFEST . MF;
  fi
  echo  " repacking $i .. "
  cd  ..
  rm  - ../ $i
  zip  - q9r  ../ $i   .
  cd  ..
  rm  - rf  $TMP
  echo  " signing $i .. "
   $JDK / bin / jarsigner  - keystore  $KEYSTORE   - storepass foopassword  $i  fookeyname
  echo  " verifying the signatures of $i .. "
   $JDK / bin / jarsigner  - verify  $i
  echo indexing  $i   ..
   $JDK / bin / jar  - $i
done


 2 .  files . sh (a list of files to treat)

 #  $Id: files.sh,v 1.1 2002/05/07 16:35:18 mvw Exp $
# Files list

# watch out for 
# - the double quotes,
# - the trailing space inside the quoted string,
# - the backslash immediatly following the closing quote

unsigned_files =
" foo1.jar  "
" foo2.jar  "
" foo3.jar  "
" foo-help.jar  "
[ code]

Java安全——数字签名
xnxqwzy的博客
02-21 1247
这个命令会使用密钥库中的信息对xyz.jar文件进行签名。sdo是密钥库中的一个实体,通过它可以找到相应的私钥来进行签名。工具使用密钥库中的信息来查找特定的实体,并使用这些信息对jar文件进行签名或验证签名。该类提供了数字签名算法的功能,可以用于对数据进行签名和验证签名。类的使用是实现数字签名的核心。最后,使用公钥验证签名。这个命令会验证xyz.jar文件的签名是否有效。通过解析这些关键信息,我们可以验证签名的有效性。同样,我们可以使用类中的。方法验证签名的有效性。签名的jar文件可以通过Java的。
如果给jar制作数字签名
03-21
按照文档中一步步的做就可以做签名工具jar数字签名了很有用
Jar文件数字签名
Robin Hu的专栏
12-13 4667
JAR文件可以用 jarsigner工具或者直接通过 java.securityAPI 签名。签名后的JAR 本身的文件文件与原来JAR本身的 文件完全相同,只是更新了它的 manifest文件,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。 如果你对数字签名还不熟悉,请先阅读《数字签名简介》,《Java的数字签名和数字证书》 JAR文件可以用一个存储在 Keys
jar 自动数字签名工具
10-19
可以自动完成对jar数字签名 如对挂在网页上的applet进行数字签名
JAR数字签名与验证
weixin_30905133的博客
02-01 1115
经签名的Jar含了以下内容: 原Jar内的class文件和资源文件 签名文件 META-INF/*.SF:这是一个文本文件含原Jar内的class文件和资源文件的Hash 签名block文件 META-INF/*.DSA:这是一个数据文件含签名者的 certificate 和数字签名。其中 certificate 含了签名者的有关信息和 public key;数字签名...
Jar文件签名与签名验证
最新发布
qq_26181613的博客
08-05 1476
jar文件签名与验证
JAR数字签名格式解析示例
08-13
总结来说,这篇内容可能提供了一个关于JAR文件数字签名的实践指南,通过`CertDemo`这个例子,详细解释了签名的创建、验证过程,以及相关工具和源码的使用,旨在帮助开发者理解和增强他们的Java应用安全性。
签名文件Sign.jar
07-02
标题中的"Sign.jar"就是一个经过签名处理的Java可执行文件,它含了开发者的信息以及对程序代码的数字签名。这样的签名能确保用户下载和安装的应用程序没有被篡改,并且来自可信的开发者。 首先,我们要理解什么是...
自动化Java Jar数字签名工具发布
jar进行数字签名是确保Java应用安全的重要步骤,尤其是当这些应用程序需要在信任受限的环境中运行时,例如在Web浏览器中运行的Applet。 数字签名通常需要私钥来生成签名,与之相对的公钥用来验证签名。这个过程...
jar数字签名
jk6801251的专栏
12-13 880
步骤:(1)将java程序打   jar cvf test.jar test.class (2)生成名为mcni.store的密钥库,别名为mcni  keytool -genkey -keystore mcni.store -alias mcni 密码:123456 (根据需要自己输入) 以下根据需要输入,最后确认:y(3)导出mcni.cer数字证书 
java之jvm学习笔记七(jar的代码认证和签名)
keycoding的专栏
12-07 7435
欢迎装载请说明出处:http://blog.youkuaiyun.com/yfqnihao                     前言:                     如果你循序渐进的看到这里,那么说明你的毅力提高了,jvm的很多东西都是比较抽像的,如果不找相对应的代码来辅助理解,其实很难有个比较形象的思维,前面我努力的尝试通过将概念投射到代码的方式去讲解jvm的各个细节,希望你能够试着自己也
jar签名和打工具
09-08
含java jar签名和打(gz)工具,具体如何使用,在工具对应文件夹中都有详细的说明。xxxx.jks只需要自行放进对应路径中即可。
jar 签名
08-04
NULL 博文链接:https://yiran2014.iteye.com/blog/2009424
JApllet的数字签名问题
sun_boyhappy的专栏
06-03 619
目的:         为了使Applet或者Java Web Start程序能够访问客户端本地资源,需要对Applet或者JWS程序jar进行数字签名,之后客户端打开Applet或者JWS程序的时候会提示是否允许该程序访问本地资源,用户如果要用你的程序,当然只能选择OK了。这样你的程序就能按照某种访问权限来访问客户机的本地资源了。签名步骤:         1.将程序打成jar。      
JAR文件签名
乐只悠悠
03-17 3325
JAR文件签名   可以使用jarsigner命令或java.security API对JAR文件进行签名。一旦对JAR文件进行签名,那么JAR文件中每个文件都将被签名,并且在META-INF目录下生成*.SF、.DSA、.RSA或SIG-*文件(不同类型的数字签名生成不同扩展名的签名块文件DSA/RSA)。   签名之后的JAR文件与原来的JAR文件完全相同,只是更新了MANIFEST.MF文件和在META-INF目录增加签名文件和签名块文件。 *.SF:JAR文件的签名文件。 *.DSA:与签名文件关联
Jar 签名
weixin_30425949的博客
08-20 747
1,加密、摘要和数字签名 (1)公钥加密算法 关于公钥加密算法,参考维基百科词条 Public-key cryptography。 公钥加密算法又称为非对称密钥加密算法,因为它含一个公钥-私钥对,称为key pair。即 key pair = private key + public key。 从功能上说,两个key作用相同,用一个key加密的消息,只能用另一个key解密...
java jar 签名_JAR数字签名与验证
weixin_42350014的博客
02-13 1769
经签名的Jar含了以下内容:原Jar内的class文件和资源文件签名文件 META-INF/*.SF:这是一个文本文件含原Jar内的class文件和资源文件的Hash签名block文件 META-INF/*.DSA:这是一个数据文件含签名者的 certificate 和数字签名。其中 certificate 含了签名者的有关信息和 public key;数字签名是对 *.SF ...
Jar的签名和验签
hello
06-18 3553
Jar文件数字签名 JAR文件可以用 jarsigner工具或者直接通过 java.securityAPI 签名。签名后的JAR 本身的文件文件与原来JAR本身的 文件完全相同,只是更新了它的 manifest文件,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。 ...
java jar签名
weixin_44826514的博客
07-22 2361
JAR文件可以用 jarsigner工具或者直接通过 java.securityAPI 签名。签名后的JAR 本身的文件 文件与原来JAR本身的 文件完全相同,只是更新了它的 manifest文件,并在 META-INF 目录中 增加了两个文件,一个签名文件和一个签名块文件JAR文件可以用一个存储在 Keystore数据库中的证书进行签名的。存储在 keystore 中的证书 有密码保护,必须向 jarsigner工具提供这个密码才能对 JAR 文件签名。 Jar文件使用jarsigner签名以后,在M
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值